Panoramica di Microsoft AD gestito

Managed Service for Microsoft Active Directory (Managed Microsoft AD) offre domini Microsoft Active Directory protetti e ad alta disponibilità ospitati da Google Cloud. Questo servizio aiuta a ridurre le attività amministrative sensibili e banali necessarie per gestire Active Directory, ma anche a estendere nel cloud l'impatto di Active Directory.

Microsoft AD gestito consente la connessione alla tua infrastruttura Active Directory on-premise esistente da Google Cloud tramite un trust a livello di foresta, agevolando l'accesso sicuro ai dati della tua organizzazione.

Come funziona Microsoft AD gestito

Microsoft AD gestito esegue controller di dominio Microsoft Active Directory effettivi su macchine virtuali Windows per garantire la compatibilità delle applicazioni. Il servizio crea e gestisce automaticamente i controller di dominio, riducendo le attività di manutenzione che devi gestire.

Supporto di più aree geografiche

Microsoft Active Directory gestito supporta il deployment in più aree geografiche delle foreste Active Directory se connesso in peering con Virtual Private Cloud (VPC) a bassa latenza globale di Google Cloud. All'interno di VPC, puoi estendere Microsoft AD gestito a più aree geografiche, senza richiedere il peering VPC o la connettività ibrida tra le regioni. Questa flessibilità fa sì che non sia necessario eseguire il deployment di Microsoft AD gestito nella stessa regione dell'infrastruttura, né creare un dominio separato per ogni regione. Puoi estendere il dominio fino a quattro aree geografiche supportate e scalarlo facilmente in orizzontale, aggiungendo o rimuovendo le regioni in base alle esigenze. Per mantenere un'alta disponibilità e migliorare la tolleranza agli errori, Microsoft AD gestito esegue il deployment di due controller di dominio in ogni regione nelle zone di Google Cloud non sovrapposte.

Modelli per la progettazione di foreste

Microsoft Active Directory gestito supporta i seguenti modelli di progettazione di foreste Active Directory:

• Foresta organizzativa: la stessa foresta contiene sia gli account utente sia le risorse, che sono gestite in modo indipendente.

• Foresta delle risorse: viene utilizzata una foresta separata per gestire le risorse.

• Foresta ad accesso limitato: una foresta separata contiene account utente e dati che devono essere isolati dal resto dell'organizzazione.

Scopri di più sui modelli di progettazione delle foreste AD e su come scegliere quello giusto per la tua organizzazione.

Differenze tra Microsoft Active Directory gestito e

Microsoft Active Directory differisce da un deployment tradizionale di Active Directory per vari aspetti.

Quando implementi un deployment tradizionale di Active Directory, devi:

• Progetta manualmente ed esegui il deployment della topologia di AD a disponibilità elevata della tua organizzazione.

• Esegui la diagnostica di AD manualmente per assicurarti che il tuo dominio sia integro, tra cui il DNS, la replica, l'autenticazione, il carico della CPU e altro ancora.

• Crea manualmente i piani di backup e verifica la risposta di ripristino di emergenza dell'organizzazione.

• Definisci manualmente le regole firewall per la rete che ospita il dominio AD.

• Presta particolare attenzione ad assicurarti che gli altri server in esecuzione sulla stessa rete non possano compromettere il tuo dominio AD.

• Applica manualmente la patch ai controller di dominio AD.

• Progettare e implementare le best practice per la sicurezza, ad esempio l'accesso con vincoli di tempo all'account amministratore di dominio.

• Assicurati che solo gli utenti molto affidabili abbiano accesso amministrativo alle risorse che eseguono i controller di dominio AD.

Il servizio gestito per Microsoft Active Directory aiuta a ridurre le difficoltà necessarie per configurare e gestire i domini Active Directory automatizzando una serie di attività, ad esempio l'aggiornamento dei controller di dominio. Microsoft Active Directory gestito fornisce anche una serie di best practice per facilitare ulteriormente l'impegno amministrativo.

Introduzione alla versione gestita di Microsoft AD

Per iniziare a utilizzare Managed Microsoft AD, specifica il nome del dominio Managed Microsoft AD e le reti VPC di Google Cloud in cui è autorizzato a rendere disponibile il dominio Microsoft AD gestito. Puoi accedere al dominio Microsoft Active Directory gestito utilizzando macchine virtuali nelle reti VPC Google Cloud autorizzate o tramite l'infrastruttura on-premise e altri prodotti cloud che si connettono a Google Cloud tramite VPN o Cloud Interconnect.

Microsoft Active Directory gestito offre:

• Un account amministratore con delega. Utilizza l'account per gestire il dominio Active Directory.

• L'unità organizzativa Cloud. Utilizza l'unità organizzativa Cloud per creare oggetti Active Directory, ad esempio utenti, account di servizio, gruppi e unità organizzative aggiuntive. Puoi applicare gli oggetti Criteri di gruppo alle unità organizzative che crei all'interno dell'unità organizzativa Cloud.

Per ulteriori informazioni, vedi Oggetti Active Directory predefiniti nella versione gestita di Microsoft AD.

Scopri di più

• Creare un dominio

• Esegui il deployment di una foresta di risorse di Active Directory