Managed Service for Microsoft Active Directory (Managed Microsoft AD) 提供由 Google Cloud 托管的高可用性安全强化型 Microsoft Active Directory 网域。此服务有助于减少管理 Active Directory 所需的重要但单调乏味的管理任务,同时将您的 Active Directory 空间扩展到云端。
Managed Microsoft AD 允许通过林级信任从 Google Cloud 连接到现有的本地 Active Directory 基础架构,从而促进对组织数据的安全访问。
托管式 Microsoft AD 的工作原理
托管式 Microsoft AD 在 Windows 虚拟机上运行原版 Microsoft Active Directory 网域控制器,以确保应用兼容性。该服务将为您创建和维护网域控制器,从而减少您需要管理的维护任务。
多地区支持
在与 Google Cloud 的全球低延迟虚拟私有云 (VPC) 建立对等互连时,托管式 Microsoft AD 支持在多地区部署 Active Directory 林。在 VPC 中,您可以将托管式 Microsoft AD 扩展到多个地区,而无需在地区之间进行 VPC 对等互连或混合连接。这种灵活性意味着您不需要在基础架构所在的地区部署托管式 Microsoft AD,也不必为每个地区单创建独一个网域。您可以根据需要在其他区域中部署网域控制器,将网域扩展到最多四个受支持的区域,以便灵活应对区域级服务中断并轻松地进行横向扩缩。为了保持高可用性和提高容错能力,代管式 Microsoft AD 将两个网域控制器部署到不重叠的 Google Cloud 可用区中的每个区域。
林设计模型
托管式 Microsoft AD 支持以下 Active Directory 林设计模型:
组织林:同一林包含独立管理的用户账号和资源。
资源林:单独的林用于管理资源。
访问受限林:一个单独的林包含用户账号和数据,必须与组织的其余部分隔离。
详细了解 AD 林设计模型以及如何选择适合您的组织的模型。
托管式 Microsoft AD 有何不同
托管式 Microsoft AD 在许多方面都不同于传统的 Active Directory 部署。
实施 Active Directory 的传统部署时,您必须:
手动设计和部署组织的高可用性 AD 拓扑。
手动运行 AD 诊断以确保网域运行状况良好,包括跟踪 DNS、复制、身份验证、CPU 负载等。
手动创建备份计划并验证组织的灾难恢复响应。
手动为托管 AD 网域的网络定义防火墙规则。
确保在同一网络上运行的其他服务器不会危害您的 AD 网域。
手动修补 AD 网域控制器。
设计和实施安全最佳做法,例如对网域管理员账号的限时访问。
确保只有受信任的用户才能对运行您的 AD 网域控制器的资源拥有管理员权限。
Managed Microsoft AD 通过自动执行本部分前面列出的一些任务,有助于减少设置和维护 Active Directory 网域所需的工作量。
开始使用托管式 Microsoft AD
如需开始使用 Managed Microsoft AD,请指定代管式 Microsoft AD 网域的名称,以及 Managed Microsoft AD 网域有权在其中使用它的 Google Cloud VPC 网络。要访问托管式 Microsoft AD 网域,您可以使用已获授权的 Google Cloud VPC 网络中的虚拟机或使用通过 VPN 或 Cloud Interconnect 连接到 Google Cloud 的本地基础架构和其他云产品。
Managed Microsoft AD 提供以下 AD 对象:
委派管理员账号。使用该账号来管理您的 Active Directory 网域。
Cloud
组织部门 (OU)。使用Cloud
组织单元创建 Active Directory 对象,例如用户、服务帐号、群组以及其他组织单元。您可以将组策略对象 (GPO) 应用于Cloud
组织单位下创建的组织单位。
如需了解详情,请参阅代管式 Microsoft AD 中的默认 Active Directory 对象。