Managed Service for Microsoft Active Directory (托管式 Microsoft AD) 提供由 Google Cloud托管的高可用性安全强化型 Microsoft Active Directory 网域。该服务有助于减少管理 Active Directory 所需的重要但单调乏味的管理任务,同时还可将您的 Active Directory 足迹扩展到云中。
托管式 Microsoft AD 允许通过林级信任 Google Cloud 连接到现有的本地 Active Directory 基础架构,从而简化对贵组织数据的安全访问。
托管式 Microsoft AD 的工作原理
托管式 Microsoft AD 在 Windows 虚拟机上运行原版 Microsoft Active Directory 网域控制器,以确保应用兼容性。该服务将为您创建和维护网域控制器,从而减少您需要管理的维护任务。
多区域支持
在与 Google Cloud的全球低延迟虚拟私有云 (VPC) 建立对等互连时,托管式 Microsoft AD 支持在多地区部署 Active Directory 林。在 VPC 中,您可以将托管式 Microsoft AD 扩展到多个地区,而无需在地区之间进行 VPC 对等互连或混合连接。这种灵活性意味着您不需要在基础架构所在的地区部署托管式 Microsoft AD,也不必为每个地区单创建独一个网域。您可以将网域扩展到最多四个受支持的地区,并根据需要在其他地区部署网域控制器,以实现对区域性服务中断的弹性处理并轻松进行横向扩缩。为了保持高可用性并提高容错能力,托管式 Microsoft AD 会在非重叠 Google Cloud 区域中的每个地区部署两个网域控制器。
林设计模型
托管式 Microsoft AD 支持以下 Active Directory 林设计模型:
组织林:同一林包含独立管理的用户账号和资源。
资源林:单独的林用于管理资源。
访问受限林:一个单独的林包含用户账号和数据,必须与组织的其余部分隔离。
详细了解 AD 林设计模型以及如何选择适合贵组织的模型。
托管式 Microsoft AD 有何不同
托管式 Microsoft AD 在许多方面都不同于传统的 Active Directory 部署。
实施 Active Directory 的传统部署时,您必须:
手动设计和部署组织的高可用性 AD 拓扑。
手动运行 AD 诊断以确保网域运行状况良好,包括跟踪 DNS、复制、身份验证、CPU 负载等。
手动创建备份计划并验证组织的灾难恢复响应。
手动为托管 AD 网域的网络定义防火墙规则。
确保在同一网络上运行的其他服务器不会危害您的 AD 网域。
手动修补 AD 网域控制器。
设计和实施安全最佳做法,例如对网域管理员账号的限时访问。
确保只有受信任的用户才对运行您的 AD 网域控制器的资源具有管理员权限。
代管式 Microsoft AD 通过使本部分前面列出的许多任务自动化来帮助减轻设置和维护 Active Directory 网域所需的工作量。
开始使用托管式 Microsoft AD
如需开始使用托管式 Microsoft AD,请指定托管式 Microsoft AD 网域的名称以及获得授权使用托管式 Microsoft AD 网域的 Google Cloud VPC 网络。您可以使用已获授权的 Google Cloud VPC 网络中的虚拟机或使用通过 VPN 或 Cloud Interconnect 连接到 Google Cloud的本地基础架构和其他云产品来访问托管式 Microsoft AD 网域。
托管式 Microsoft AD 提供以下 AD 对象:
委派管理员账号。使用该账号来管理您的 Active Directory 网域。
Cloud组织部门 (OU)。使用Cloud组织部门来创建您的 Active Directory 对象,例如用户、服务账号、组以及其他组织部门。您可以将组策略对象 (GPO) 应用于Cloud组织单位下创建的组织单位。
如需了解详情,请参阅托管式 Microsoft AD 中的默认 Active Directory 对象。