Resumen

El servicio administrado para Microsoft Active Directory (Microsoft AD administrado) ofrece dominios de Microsoft Active Directory endurecido y de alta disponibilidad alojados por Google Cloud. Este servicio ayuda a reducir las tareas administrativas sensibles o mundanas necesarias para administrar Active Directory, mientras extiende la huella de Active Directory a la nube.

Microsoft AD administrado admite la extensión de tu infraestructura de Active Directory local existente a Google Cloud, lo que unifica el acceso seguro a los datos de tu organización.

Cómo funciona Microsoft AD administrado

Microsoft AD administrado ejecuta controladores de dominio reales de Microsoft Active Directory en máquinas virtuales de Windows para garantizar la compatibilidad de las aplicaciones. El servicio crea y mantiene los controladores de dominio por ti, lo que reduce las tareas de mantenimiento que necesitas administrar.

Compatibilidad multirregional

Microsoft AD administrado admite la implementación multirregional de bosques de Active Directory cuando intercambia el tráfico con la nube privada virtual (VPC) de baja latencia global de Google Cloud. Dentro de VPC, puedes extender Microsoft AD administrado a varias regiones sin necesidad de establecer el intercambio de tráfico de VPC o la conectividad híbrida entre las regiones. Esta flexibilidad significa que no necesitas implementar Microsoft AD administrado en la misma región que la infraestructura ni crear un dominio separado para cada región. Puedes extender el dominio hasta a cuatro regiones compatibles y escalar de manera horizontal fácilmente, si agregas o quitas regiones según sea necesario. Para mantener una alta disponibilidad y mejorar la tolerancia a errores, Microsoft AD administrado implementa dos controladores de dominio en cada región en zonas de Google Cloud no superpuestas.

Modelos de diseño de bosque

Microsoft AD administrado admite los siguientes modelos de diseño de bosque de Active Directory:

  • Bosque organizativo: El mismo bosque contiene cuentas de usuario y recursos, que se administran de forma independiente.

  • Bosque de recursos: Se usa un bosque aparte para administrar los recursos.

  • Bosque de acceso restringido: Un bosque separado contiene cuentas de usuario y datos que deben aislarse del resto de la organización.

Obtén más información sobre los modelos de diseño de bosque de AD y cómo elegir el más adecuado para tu organización.

Cómo se distingue Microsoft AD administrado

Microsoft AD administrado difiere de una implementación tradicional de Active Directory de varias maneras.

Cuando implementas una implementación tradicional de Active Directory, debes realizar lo siguiente:

  • Diseña y, luego, implementa de forma manual la topología de AD con alta disponibilidad de tu organización.

  • Ejecuta el diagnóstico de AD de forma manual para asegurarte de que tu dominio esté en buen estado, incluido el seguimiento de DNS, la replicación, la autenticación, la carga de la CPU y más.

  • Cree manualmente planes de copia de seguridad y verifique la respuesta de recuperación ante desastres de su organización.

  • Defina manualmente las reglas de firewall para la red que aloja su dominio de AD.

  • Tenga especial cuidado para asegurarse de que otros servidores que se ejecutan en la misma red no puedan comprometer su dominio de AD.

  • Parchee manualmente sus controladores de dominio de AD.

  • Haga un esfuerzo para diseñar e implementar las prácticas recomendadas de seguridad, como el acceso con límite de tiempo a la cuenta de administrador de dominio.

  • Asegúrate de que solo usuarios muy confiables tengan acceso de administrador a los recursos que ejecutan tus controladores de dominio de AD.

El servicio administrado para Microsoft Active Directory ayuda a mitigar el esfuerzo necesario para configurar y mantener tus dominios de Active Directory mediante la automatización de varias tareas, como mantener actualizados los controladores de dominio. Microsoft AD administrado también proporciona un conjunto de prácticas recomendadas para facilitar aún más el esfuerzo administrativo.

Comienza a usar Microsoft AD administrado

Para comenzar a usar Microsoft AD administrado, especifique el nombre del dominio de Microsoft AD administrado y las redes de VPC de Google Cloud donde el dominio de Microsoft AD administrado está autorizado a estar disponible. Puede acceder al dominio de Microsoft AD administrado utilizando máquinas virtuales en sus redes autorizadas de VPC de Google Cloud, o mediante una infraestructura local y otros productos en la nube que se conectan a Google Cloud a través de VPN o Cloud Interconnect.

Microsoft AD administrado proporciona lo siguiente:

  • Una cuenta de administrador delegada Usa la cuenta para administrar tu dominio de Active Directory.

  • La unidad organizacional Cloud. Usa la UO Cloud para crear tus objetos de Active Directory, como usuarios, cuentas de servicio, grupos y OU adicionales. Puedes aplicar objetos de políticas de grupo (GPO) a las UO que creas en la UO Cloud.

Para obtener más información, lea acerca de Objetos de Microsoft AD administrado.

Más información