概览

Managed Service for Microsoft Active Directory (托管式 Microsoft AD) 提供由 Google Cloud 托管的高可用性安全强化型 Microsoft Active Directory 网域。该服务有助于减少管理 Active Directory 所需的敏感但单调乏味的管理任务,同时还可将您的 Active Directory 足迹扩展到云中。

托管式 Microsoft AD 支持将您现有的本地 Active Directory 基础架构扩展到 Google Cloud,从而统一对您组织的数据的安全访问。

托管式 Microsoft AD 的工作原理

托管式 Microsoft AD 在 Windows 虚拟机上运行原版 Microsoft Active Directory 网域控制器,以确保应用兼容性。该服务将为您创建和维护网域控制器,从而减少您需要管理的维护任务。

多地区支持

在与 Google Cloud 的全球低延迟虚拟私有云 (VPC) 建立对等互连时,托管式 Microsoft AD 支持在多地区部署 Active Directory 林。在 VPC 中,您可以将托管式 Microsoft AD 扩展到多个地区,而无需在地区之间进行 VPC 对等互连或混合连接。这种灵活性意味着您不需要在基础架构所在的地区部署托管式 Microsoft AD,也不必为每个地区单创建独一个网域。您可以将网域扩展到最多四个受支持的地区,并根据需要添加或移除地区,轻松进行横向扩缩。为了保持高可用性并提高容错能力,托管式 Microsoft AD 会在非重叠 Google Cloud 区域中的每个地区部署两个网域控制器。

林设计模型

托管式 Microsoft AD 支持以下 Active Directory 林设计模型:

  • 组织林:同一林包含独立管理的用户帐号和资源。

  • 资源林:单独的林用于管理资源。

  • 访问受限林:一个单独的林包含用户帐号和数据,必须与组织的其余部分隔离。

详细了解 AD 林设计模型以及如何选择适合您的组织的模型

托管式 Microsoft AD 有何不同

托管式 Microsoft AD 在许多方面都不同于传统的 Active Directory 部署。

实施 Active Directory 的传统部署时,您必须:

  • 手动设计和部署组织的高可用性 AD 拓扑。

  • 手动运行 AD 诊断以确保网域运行状况良好,包括跟踪 DNS、复制、身份验证、CPU 负载等。

  • 手动创建备份计划并验证组织的灾难恢复响应。

  • 手动为托管 AD 网域的网络定义防火墙规则。

  • 确保在同一网络上运行的其他服务器不会危害您的 AD 网域。

  • 手动修补 AD 网域控制器。

  • 设计和实施安全最佳做法,例如对网域管理员帐号的限时访问。

  • 确保只有非常受信任的用户才对运行您的 AD 网域控制器的资源具有管理员权限。

Managed Service for Microsoft Active Directory 通过使许多任务自动化(例如使网域控制器保持最新状态)来帮助减轻设置和维护 Active Directory 网域所需的工作量。托管式 Microsoft AD 还提供了一组最佳做法,以帮助进一步简化管理工作。

开始使用托管式 Microsoft AD

要开始使用托管式 Microsoft AD,请指定托管式 Microsoft AD 网域的名称以及获得授权使用托管式 Microsoft AD 网域的 Google Cloud VPC 网络。要访问托管式 Microsoft AD 网域,您可以使用已获授权的 Google Cloud VPC 网络中的虚拟机或使用通过 VPN 或 Cloud Interconnect 连接到 Google Cloud 的本地基础架构和其他云产品。

托管式 Microsoft AD提供:

  • 委派管理员帐号。使用该帐号来管理您的 Active Directory 网域。

  • Cloud 组织单位。使用 Cloud 组织单位来创建您的 Active Directory 对象,例如用户、服务帐号、组以及其他组织单位。您可以将组策略对象 (GPO) 应用于 Cloud 组织单位下创建的组织单位。

如需了解详情,请参阅托管式 Microsoft AD 对象

了解详情