Présentation

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Le service géré pour Microsoft Active Directory (service Microsoft AD géré) offre des domaines Microsoft Active Directory renforcés et à disponibilité élevée, hébergés par Google Cloud. Ce service permet de réduire les tâches administratives sensibles, mais banales, requises pour gérer Active Directory, tout en étendant votre empreinte Active Directory dans le cloud.

Le service Microsoft AD géré vous permet de vous connecter à votre infrastructure Active Directory sur site existante à partir de Google Cloud via une approbation au niveau de la forêt, ce qui facilite l'accès sécurisé aux données de votre organisation.

Fonctionnement du service Microsoft AD géré

Le service Microsoft AD géré exécute les contrôleurs de domaine Microsoft Active Directory sur les machines virtuelles Windows afin de garantir la compatibilité des applications. Le service crée et entretient les contrôleurs de domaine à votre place, ce qui réduit les tâches de maintenance que vous devez gérer.

Stockage multirégional

Le service Microsoft AD géré accepte un déploiement multirégional des forêts Active Directory lorsqu'il est appairé au cloud privé virtuel (VPC) mondial à faible latence de Google Cloud. Au sein d'un VPC, vous pouvez étendre le service Microsoft AD géré à plusieurs régions sans avoir à utiliser un appairage VPC ou un connectivité hybride entre les régions. Cette flexibilité signifie que vous n'avez pas besoin de déployer le service Microsoft AD géré dans la même région que l'infrastructure, et qu'il n'est pas nécessaire de créer un domaine distinct pour chaque région. Vous pouvez étendre le domaine à quatre régions disponibles et effectuer le scaling horizontal en toute simplicité, en ajoutant ou en supprimant des régions si nécessaire. Pour maintenir une haute disponibilité et améliorer la tolérance aux pannes, le service Microsoft AD géré déploie deux contrôleurs de domaine sur chaque région dans des zones Google Cloud qui ne se chevauchent pas.

Modèles de conception de forêt

Le service Microsoft AD géré est compatible avec les modèles de conception de forêt Active Directory suivants :

  • Forêt organisationnelle : la même forêt contient à la fois des comptes utilisateur et des ressources, qui sont gérés indépendamment.

  • Forêt de ressources : une forêt distincte est utilisée pour gérer les ressources.

  • Forêt à accès restreint : une forêt distincte contient des comptes utilisateur et des données à isoler du reste de l'organisation.

Découvrez plus d'informations sur les modèles de conception de forêt AD et comment choisir celui qui convient à votre organisation.

En quoi la gestion du service Microsoft AD géré est différente

Le service Microsoft AD géré diffère d'un déploiement traditionnel d'Active Directory à plusieurs égards.

Lors de l'implémentation d'un déploiement traditionnel d'Active Directory, vous devez :

  • Concevoir et déployer manuellement la topologie AD hautement disponible de votre organisation.

  • Exécuter manuellement les diagnostics AD pour vous assurer que votre domaine est sain, y compris le suivi DNS, la réplication, l'authentification, la charge du processeur, etc.

  • Créer manuellement des plans de sauvegarde et vérifier la réponse de reprise après sinistre de votre organisation.

  • Définir manuellement les règles de pare-feu pour le réseau qui héberge votre domaine AD.

  • Faire particulièrement attention à ce que les autres serveurs exécutés sur le même réseau ne compromettent pas votre domaine AD.

  • Corriger manuellement vos contrôleurs de domaine AD.

  • Faire des efforts pour concevoir et mettre en œuvre les bonnes pratiques de sécurité, telles que l'accès limité dans le temps au compte d'administrateur de domaine.

  • S'assurer que seuls les utilisateurs très fiables ont un accès administratif aux ressources qui exécutent vos contrôleurs de domaine AD.

Le service géré pour Microsoft Active Directory permet d'atténuer les efforts requis pour configurer et gérer vos domaines Active Directory en automatisant un certain nombre de tâches, telles que la mise à jour des contrôleurs de domaine. Le service Microsoft AD géré fournit également un ensemble de bonnes pratiques pour faciliter encore plus les efforts administratifs.

Premiers pas avec le service Microsoft AD géré

Pour commencer à utiliser le service Microsoft AD géré, spécifiez le nom du domaine Microsoft AD géré et les réseaux Google Cloud VPC, où le domaine Microsoft AD géré est autorisé à être disponible. Vous pouvez accéder au domaine Microsoft AD géré à l'aide de machines virtuelles dans vos réseaux VPC Google Cloud autorisés, ou via une infrastructure sur site et d'autres produits cloud qui se connectent à Google Cloud via VPN ou Cloud Interconnect.

Le service Microsoft AD géré fournit :

  • Un compte administrateur délégué. Utilise le compte pour gérer votre domaine Active Directory.

  • L'unité organisationnelle Cloud. Utilise l'UO Cloud pour créer vos objets Active Directory, tels que des utilisateurs, des comptes de service, des groupes, ainsi que des unités organisationnelles supplémentaires. Vous pouvez appliquer des objets de stratégie de groupe (GPO) à des unités organisationnelles créées sous l'UO Cloud.

Pour en savoir plus, consultez la section Objets Microsoft AD gérés.

En savoir plus