El servicio gestionado de Microsoft Active Directory (Managed Microsoft AD) ofrece dominios de Microsoft Active Directory endurecidos y de alta disponibilidad alojados por Google Cloud. Este servicio ayuda a reducir las tareas administrativas importantes pero rutinarias necesarias para gestionar Active Directory, al tiempo que amplía tu huella de Active Directory en la nube.
Managed Microsoft AD permite conectarse a tu infraestructura de Active Directory local desde Google Cloud mediante una confianza a nivel de bosque, lo que facilita el acceso seguro a los datos de tu organización.
Cómo funciona Microsoft AD gestionado
Microsoft AD gestionado ejecuta controladores de dominio de Microsoft Active Directory en máquinas virtuales de Windows para asegurar la compatibilidad de las aplicaciones. El servicio crea y mantiene los controladores de dominio por ti, lo que reduce las tareas de mantenimiento que tienes que gestionar.
Asistencia multirregional
Microsoft AD gestionado admite el despliegue multirregional de bosques de Active Directory cuando se empareja con la nube privada virtual (VPC) global de baja latencia de Google Cloud. En una VPC, puedes ampliar Microsoft AD gestionado a varias regiones sin necesidad de usar el peering de VPC ni la conectividad híbrida entre las regiones. Esta flexibilidad significa que no es necesario desplegar Microsoft AD gestionado en la misma región que la infraestructura ni crear un dominio independiente para cada región. Puedes ampliar el dominio a un máximo de cuatro regiones admitidas para protegerlo frente a interrupciones regionales y escalarlo horizontalmente con facilidad desplegando controladores de dominio en otras regiones según sea necesario. Para mantener una alta disponibilidad y mejorar la tolerancia a fallos, Microsoft AD gestionado despliega dos controladores de dominio en cada región en zonas Google Cloud no superpuestas.
Modelos de diseño de bosques
El servicio gestionado de Microsoft AD admite los siguientes modelos de diseño de bosque de Active Directory:
Bosque de la organización: el mismo bosque contiene cuentas de usuario y recursos, que se gestionan de forma independiente.
Bosque de recursos: se usa un bosque independiente para gestionar los recursos.
Bosque de acceso restringido: un bosque independiente contiene cuentas de usuario y datos que deben aislarse del resto de la organización.
Consulta más información sobre los modelos de diseño de bosques de AD y cómo elegir el más adecuado para tu organización.
Diferencias de Microsoft AD gestionado
Microsoft AD gestionado se diferencia de una implementación tradicional de Active Directory de varias formas.
Al implementar una implementación tradicional de Active Directory, debe hacer lo siguiente:
Diseñar e implementar manualmente la topología de AD de alta disponibilidad de tu organización.
Ejecuta diagnósticos de AD manualmente para asegurarte de que tu dominio funciona correctamente. Esto incluye el seguimiento de DNS, la replicación, la autenticación, la carga de la CPU y más.
Crea manualmente planes de copia de seguridad y verifica la respuesta de recuperación ante desastres de tu organización.
Define manualmente las reglas de cortafuegos de la red que aloja tu dominio de AD.
Asegúrate de que otros servidores que se ejecuten en la misma red no puedan poner en peligro tu dominio de AD.
Aplica parches manualmente a tus controladores de dominio de AD.
Esfuérzate por diseñar e implementar prácticas recomendadas de seguridad, como el acceso limitado en el tiempo a la cuenta de administrador del dominio.
Asegúrate de que solo los usuarios de confianza tengan acceso de administrador a los recursos que ejecutan los controladores de dominio de AD.
Microsoft AD gestionado ayuda a reducir el esfuerzo necesario para configurar y mantener tus dominios de Active Directory automatizando varias de las tareas que se han indicado anteriormente en esta sección.
Empezar a usar Microsoft AD gestionado
Para empezar a usar el servicio gestionado de Microsoft AD, especifica el nombre del dominio de Microsoft AD gestionado y las Google Cloud redes VPC en las que el dominio de Microsoft AD gestionado tiene autorización para estar disponible. Puedes acceder al dominio de Managed Microsoft AD mediante máquinas virtuales de tus redes de VPC Google Cloud autorizadas o a través de la infraestructura on-premise y otros productos en la nube que se conecten a él mediante VPN o Cloud Interconnect. Google Cloud
Managed Microsoft AD proporciona los siguientes objetos de Active Directory:
Una cuenta de administrador delegado. Usa la cuenta para gestionar tu dominio de Active Directory.
La
Cloudunidad organizativa (UO). Usa la UOCloudpara crear tus objetos de Active Directory, como usuarios, cuentas de servicio y grupos, así como otras UOs. Puedes aplicar objetos de directiva de grupo (GPOs) a las unidades organizativas que crees en la unidad organizativaCloud.
Para obtener más información, consulta Objetos predeterminados de Active Directory en Managed Microsoft AD.