Le service géré pour Microsoft Active Directory (service Microsoft AD géré) propose des domaines Microsoft Active Directory renforcés à disponibilité élevée, hébergés par Google Cloud. Ce service permet de réduire les tâches administratives importantes, mais banales requises pour gérer Active Directory, tout en étendant votre présence Active Directory dans le cloud.
Le service Microsoft AD géré permet de se connecter à votre infrastructure Active Directory sur site existante à partir de Google Cloud via une approbation au niveau de la forêt, ce qui facilite l'accès sécurisé aux données de votre organisation.
Fonctionnement du service Microsoft AD géré
Le service Microsoft AD géré exécute les contrôleurs de domaine Microsoft Active Directory sur les machines virtuelles Windows afin de garantir la compatibilité des applications. Le service crée et entretient les contrôleurs de domaine à votre place, ce qui réduit les tâches de maintenance que vous devez gérer.
Stockage multirégional
Le service Microsoft AD géré accepte un déploiement multirégional des forêts Active Directory lorsqu'il est appairé au cloud privé virtuel (VPC) mondial à faible latence de Google Cloud. Au sein d'un VPC, vous pouvez étendre le service Microsoft AD géré à plusieurs régions sans avoir à utiliser un appairage VPC ou un connectivité hybride entre les régions. Cette flexibilité signifie que vous n'avez pas besoin de déployer le service Microsoft AD géré dans la même région que l'infrastructure, et qu'il n'est pas nécessaire de créer un domaine distinct pour chaque région. Vous pouvez étendre le domaine à un maximum de quatre régions compatibles pour le rendre résilient aux pannes régionales et le faire évoluer facilement de manière horizontale, en déployant des contrôleurs de domaine dans d'autres régions si nécessaire. Pour maintenir une haute disponibilité et améliorer la tolérance aux pannes, le service Microsoft AD géré déploie deux contrôleurs de domaine dans chaque région, dans des zones Google Cloud qui ne se chevauchent pas.
Modèles de conception de forêt
Le service Microsoft AD géré est compatible avec les modèles de conception de forêt Active Directory suivants :
Forêt organisationnelle : la même forêt contient à la fois des comptes utilisateur et des ressources, qui sont gérés indépendamment.
Forêt de ressources : une forêt distincte est utilisée pour gérer les ressources.
Forêt à accès restreint : une forêt distincte contient des comptes utilisateur et des données à isoler du reste de l'organisation.
Découvrez plus d'informations sur les modèles de conception de forêt AD et comment choisir celui qui convient à votre organisation.
En quoi la gestion du service Microsoft AD géré est différente
Le service Microsoft AD géré diffère d'un déploiement traditionnel d'Active Directory à plusieurs égards.
Lors de l'implémentation d'un déploiement traditionnel d'Active Directory, vous devez :
Concevoir et déployer manuellement la topologie AD hautement disponible de votre organisation.
Exécuter manuellement les diagnostics AD pour vous assurer que votre domaine est sain, y compris le suivi DNS, la réplication, l'authentification, la charge du processeur, etc.
Créer manuellement des plans de sauvegarde et vérifier la réponse de reprise après sinistre de votre organisation.
Définir manuellement les règles de pare-feu pour le réseau qui héberge votre domaine AD.
Faire particulièrement attention à ce que les autres serveurs exécutés sur le même réseau ne compromettent pas votre domaine AD.
Corriger manuellement vos contrôleurs de domaine AD.
Faire des efforts pour concevoir et mettre en œuvre les bonnes pratiques de sécurité, telles que l'accès limité dans le temps au compte d'administrateur de domaine.
Assurez-vous que seuls les utilisateurs de confiance disposent d'un accès administrateur aux ressources qui exécutent vos contrôleurs de domaine AD.
Le service Microsoft AD géré permet de réduire les efforts nécessaires à la configuration et à la maintenance de vos domaines Active Directory en automatisant un certain nombre des tâches répertoriées précédemment dans cette section.
Premiers pas avec le service Microsoft AD géré
Pour commencer à utiliser le service Microsoft AD géré, indiquez le nom du domaine Microsoft AD géré et des réseaux VPC Google Cloud sur lesquels le domaine Microsoft AD géré est autorisé à être disponible. Vous pouvez accéder au domaine Microsoft AD géré à l'aide de machines virtuelles dans vos réseaux VPC Google Cloud autorisés, ou via une infrastructure sur site et d'autres produits cloud qui se connectent à Google Cloud via VPN ou Cloud Interconnect.
Le service Microsoft AD géré fournit les objets AD suivants:
Un compte administrateur délégué. Utilise le compte pour gérer votre domaine Active Directory.
Unité organisationnelle (UO)
Cloud
Utilisez l'UOCloud
pour créer vos objets Active Directory, tels que des utilisateurs, des comptes de service et des groupes, ainsi que des UO supplémentaires. Vous pouvez appliquer des objets de stratégie de groupe (GPO) à des unités organisationnelles créées sous l'UOCloud
.
Pour en savoir plus, consultez la page Objets Active Directory par défaut dans le service Microsoft AD géré.