El servicio administrado para Microsoft Active Directory (Microsoft AD administrado) ofrece dominios de Microsoft Active Directory endurecidos y de alta disponibilidad alojados por Google Cloud. Este servicio ayuda a reducir las tareas administrativas importantes pero mundanas necesarias para administrar Active Directory, mientras extiende la huella de Active Directory a la nube.
Microsoft AD administrado permite conectarse a tu infraestructura de Active Directory local existente desde Google Cloud a través de una confianza a nivel del bosque, lo que facilita el acceso seguro a los datos de tu organización.
Cómo funciona Microsoft AD administrado
Microsoft AD administrado ejecuta controladores de dominio reales de Microsoft Active Directory en máquinas virtuales de Windows para garantizar la compatibilidad de las aplicaciones. El servicio crea y mantiene los controladores de dominio por ti, lo que reduce las tareas de mantenimiento que necesitas administrar.
Compatibilidad multirregional
Microsoft AD administrado admite la implementación multirregional de bosques de Active Directory cuando intercambia el tráfico con la nube privada virtual (VPC) de baja latencia global de Google Cloud. Dentro de VPC, puedes extender Microsoft AD administrado a varias regiones sin necesidad de establecer el intercambio de tráfico de VPC o la conectividad híbrida entre las regiones. Esta flexibilidad significa que no necesitas implementar Microsoft AD administrado en la misma región que la infraestructura ni crear un dominio separado para cada región. Puedes extender el dominio hasta a cuatro regiones compatibles para que sea resiliente a las interrupciones regionales y escalar de manera horizontal fácilmente, si implementas controladores de dominio en regiones adicionales según sea necesario. Para mantener una alta disponibilidad y mejorar la tolerancia a errores, Microsoft AD administrado implementa dos controladores de dominio en cada región en zonas de Google Cloud no superpuestas.
Modelos de diseño de bosque
Microsoft AD administrado admite los siguientes modelos de diseño de bosque de Active Directory:
Bosque organizativo: El mismo bosque contiene cuentas de usuario y recursos, que se administran de forma independiente.
Bosque de recursos: Se usa un bosque aparte para administrar los recursos.
Bosque de acceso restringido: Un bosque separado contiene cuentas de usuario y datos que deben aislarse del resto de la organización.
Obtén más información sobre los modelos de diseño de bosque de AD y cómo elegir el más adecuado para tu organización.
Cómo se distingue Microsoft AD administrado
Microsoft AD administrado difiere de una implementación tradicional de Active Directory de varias maneras.
Cuando implementas una implementación tradicional de Active Directory, debes realizar lo siguiente:
Diseña y, luego, implementa de forma manual la topología de AD con alta disponibilidad de tu organización.
Ejecuta el diagnóstico de AD de forma manual para asegurarte de que tu dominio esté en buen estado, incluido el seguimiento de DNS, la replicación, la autenticación, la carga de la CPU y más.
Cree manualmente planes de copia de seguridad y verifique la respuesta de recuperación ante desastres de su organización.
Defina manualmente las reglas de firewall para la red que aloja su dominio de AD.
Tenga especial cuidado para asegurarse de que otros servidores que se ejecutan en la misma red no puedan comprometer su dominio de AD.
Parchee manualmente sus controladores de dominio de AD.
Haga un esfuerzo para diseñar e implementar las prácticas recomendadas de seguridad, como el acceso con límite de tiempo a la cuenta de administrador de dominio.
Asegúrate de que solo usuarios de confianza tengan acceso de administrador a los recursos que ejecutan tus controladores de dominio de AD.
Microsoft AD administrado ayuda a mitigar el esfuerzo necesario para configurar y mantener tus dominios de Active Directory mediante la automatización de varias tareas que se enumeraron antes en esta sección.
Comienza a usar Microsoft AD administrado
Para comenzar a usar Microsoft AD administrado, especifica el nombre del dominio de Microsoft AD administrado y las Google Cloud redes de VPC donde el dominio de Microsoft AD administrado está autorizado a estar disponible. Puedes acceder al dominio de Microsoft AD administrado con máquinas virtuales en tus redes de VPC Google Cloud autorizadas, o mediante una infraestructura local y otros productos en la nube que se conectan a Google Clouda través de VPN o Cloud Interconnect.
Microsoft AD administrado proporciona los siguientes objetos de AD:
Una cuenta de administrador delegada Usa la cuenta para administrar tu dominio de Active Directory.
La unidad organizativa (UO)
Cloud. Usa la UOCloudpara crear tus objetos de Active Directory, como usuarios, cuentas de servicio y grupos, y UO adicionales. Puedes aplicar objetos de políticas de grupo (GPO) a las UO que creas en la UOCloud.
Para obtener más información, consulta Objetos predeterminados de Active Directory en Microsoft AD administrado.