El servicio administrado para Microsoft Active Directory (Microsoft AD administrado) ofrece dominios de Microsoft Active Directory endurecidos y con alta disponibilidad alojados por Google Cloud. Este servicio ayuda a reducir las tareas administrativas importantes, pero tediosas, necesarias para administrar Active Directory, a la vez que extiende tu presencia de Active Directory en la nube.
Microsoft AD administrado permite conectarse a tu infraestructura local de Active Directory existente desde Google Cloud a través de una relación de confianza a nivel de bosque, lo que facilita el acceso seguro a los datos de tu organización.
Cómo funciona Microsoft AD administrado
Microsoft AD administrado ejecuta controladores de dominio reales de Microsoft Active Directory en máquinas virtuales de Windows para garantizar la compatibilidad de las aplicaciones. El servicio crea y mantiene los controladores de dominio por ti, lo que reduce las tareas de mantenimiento que necesitas administrar.
Compatibilidad multirregional
Microsoft AD administrado admite la implementación multirregional de bosques de Active Directory cuando intercambia el tráfico con la nube privada virtual (VPC) de baja latencia global de Google Cloud. Dentro de VPC, puedes extender Microsoft AD administrado a varias regiones sin necesidad de establecer el intercambio de tráfico de VPC o la conectividad híbrida entre las regiones. Esta flexibilidad significa que no necesitas implementar Microsoft AD administrado en la misma región que la infraestructura ni crear un dominio separado para cada región. Puedes extender el dominio hasta cuatro regiones compatibles para que sea resistente a las interrupciones regionales y escalas de forma horizontal con facilidad implementando controladores de dominio en regiones adicionales según sea necesario. Para mantener la alta disponibilidad y mejorar la tolerancia a errores, Microsoft AD administrado implementa dos controladores de dominio en cada región, en zonas de Google Cloud no superpuestas.
Modelos de diseño de bosque
Microsoft AD administrado admite los siguientes modelos de diseño de bosque de Active Directory:
Bosque organizativo: El mismo bosque contiene cuentas de usuario y recursos, que se administran de forma independiente.
Bosque de recursos: Se usa un bosque aparte para administrar los recursos.
Bosque de acceso restringido: Un bosque separado contiene cuentas de usuario y datos que deben aislarse del resto de la organización.
Obtén más información sobre los modelos de diseño de bosque de AD y cómo elegir el más adecuado para tu organización.
Cómo se distingue Microsoft AD administrado
Microsoft AD administrado difiere de una implementación tradicional de Active Directory de varias maneras.
Cuando implementas una implementación tradicional de Active Directory, debes realizar lo siguiente:
Diseña y, luego, implementa de forma manual la topología de AD con alta disponibilidad de tu organización.
Ejecuta el diagnóstico de AD de forma manual para asegurarte de que tu dominio esté en buen estado, incluido el seguimiento de DNS, la replicación, la autenticación, la carga de la CPU y más.
Cree manualmente planes de copia de seguridad y verifique la respuesta de recuperación ante desastres de su organización.
Defina manualmente las reglas de firewall para la red que aloja su dominio de AD.
Tenga especial cuidado para asegurarse de que otros servidores que se ejecutan en la misma red no puedan comprometer su dominio de AD.
Parchee manualmente sus controladores de dominio de AD.
Haga un esfuerzo para diseñar e implementar las prácticas recomendadas de seguridad, como el acceso con límite de tiempo a la cuenta de administrador de dominio.
Asegúrate de que solo los usuarios de confianza tengan acceso de administrador a los recursos que ejecutan los controladores de dominio de AD.
Microsoft AD administrado ayuda a mitigar el esfuerzo requerido para configurar y mantener tus dominios de Active Directory mediante la automatización de varias de las tareas enumeradas antes en esta sección.
Comienza a usar Microsoft AD administrado
Para comenzar a usar Microsoft AD administrado, especifica el nombre del dominio de Microsoft AD administrado y las redes de VPC de Google Cloud en las que el dominio de Microsoft AD administrado está autorizado para estar disponible. Puede acceder al dominio de Microsoft AD administrado utilizando máquinas virtuales en sus redes autorizadas de VPC de Google Cloud, o mediante una infraestructura local y otros productos en la nube que se conectan a Google Cloud a través de VPN o Cloud Interconnect.
Microsoft AD administrado proporciona los siguientes objetos de AD:
Una cuenta de administrador delegada Usa la cuenta para administrar tu dominio de Active Directory.
La unidad organizativa (UO) de
Cloud
. Usa la UOCloud
para crear tus objetos de Active Directory, como usuarios, cuentas de servicio, grupos y UO adicionales. Puedes aplicar objetos de políticas de grupo (GPO) a las UO que creas en la UOCloud
.
Para obtener más información, consulta Objetos de Active Directory predeterminados en Microsoft AD administrado.