Managed Service for Microsoft Active Directory (Managed Microsoft AD) offre domini Microsoft Active Directory protetti e ad alta disponibilità ospitati da Google Cloud. Questo servizio consente di ridurre le attività amministrative importanti, ma banali, necessarie per gestire Active Directory, estendendo al contempo l'impronta di Active Directory nel cloud.
Microsoft AD gestito consente di connettersi all'infrastruttura Active Directory on-premise esistente Google Cloud tramite un'attendibilità a livello di foresta, facilitando l'accesso sicuro ai dati della tua organizzazione.
Come funziona Managed Microsoft AD
Managed Microsoft AD esegue controller di dominio Microsoft Active Directory effettivi su macchine virtuali Windows per garantire la compatibilità delle applicazioni. Il servizio crea e gestisce i controller di dominio per te, riducendo le attività di manutenzione che devi gestire.
Supporto di più aree geografiche
AD Microsoft gestito supporta il deployment multiregionale delle foreste Active Directory quando è in coppia con il VPC (Virtual Private Cloud) a bassa latenza globale di Google Cloud. All'interno del VPC, puoi estendere Microsoft Active Directory gestito a più regioni senza richiedere il peering VPC o la connettività ibrida tra le regioni. Questa flessibilità significa che non è necessario eseguire il deployment di Microsoft AD gestito nella stessa regione dell'infrastruttura né creare un dominio separato per ogni regione. Puoi estendere il dominio a un massimo di quattro regioni supportate per essere resiliente alle interruzioni regionali e scalare facilmente in orizzontale eseguendo il deployment di controller di dominio in altre regioni, se necessario. Per mantenere un'elevata disponibilità e migliorare la tolleranza ai guasti, Microsoft Active Directory gestito esegue il deployment di due controller di dominio in ogni regione in zone Google Cloud non sovrapposte.
Modelli di progettazione di foreste
Microsoft AD gestito supporta i seguenti modelli di progettazione della foresta Active Directory:
Foresta aziendale: la stessa foresta contiene sia gli account utente sia le risorse, che vengono gestite in modo indipendente.
Foresta di risorse: viene utilizzata una foresta separata per gestire le risorse.
Foresta con accesso limitato: una foresta separata contiene account e dati utente che devono essere isolati dal resto dell'organizzazione.
Scopri di più sui modelli di progettazione delle foreste di annunci e su come scegliere quello giusto per la tua organizzazione.
Differenze tra Microsoft Active Directory gestito
Microsoft AD gestito è diverso da un deployment tradizionale di Active Directory in diversi modi.
Quando implementi un deployment tradizionale di Active Directory, devi:
Progetta e esegui manualmente il deployment della topology AD ad alta disponibilità della tua organizzazione.
Esegui manualmente la diagnostica di AD per assicurarti che il tuo dominio funzioni correttamente, ad esempio monitorando DNS, replica, autenticazione, carico della CPU e altro ancora.
Crea manualmente i piani di backup e verifica la risposta al piano di recupero in caso di disastro della tua organizzazione.
Definisci manualmente le regole del firewall per la rete che ospita il tuo dominio AD.
Presta particolare attenzione ad assicurarti che gli altri server in esecuzione sulla stessa rete non possano compromettere il tuo dominio AD.
Applica manualmente le patch ai controller di dominio AD.
Sforzati di progettare e implementare best practice per la sicurezza, ad esempio l'accesso con limite di tempo all'account amministratore del dominio.
Assicurati che solo gli utenti attendibili abbiano accesso amministrativo alle risorse che eseguono i controller del dominio AD.
Microsoft AD gestito contribuisce a ridurre lo sforzo necessario per configurare e gestire i tuoi domini Active Directory automatizzando una serie di attività elencate in precedenza in questa sezione.
Inizia a utilizzare Managed Microsoft AD
Per iniziare a utilizzare Microsoft Active Directory gestito, specifica il nome del dominio Microsoft Active Directory gestito e le reti VPC in cui il dominio Microsoft Active Directory gestito è autorizzato a essere disponibile. Google Cloud Puoi accedere al dominio AD Microsoft gestito utilizzando le macchine virtuali nelle reti Google Cloud VPC autorizzate o tramite l'infrastruttura on-premise e altri prodotti cloud che si connettono Google Cloudtramite VPN o Cloud Interconnect.
Managed Microsoft AD fornisce i seguenti oggetti AD:
Un account amministratore con delega. Utilizza l'account per gestire il tuo dominio Active Directory.
L'unità organizzativa (UO)
Cloud. Utilizza l'OUCloudper creare gli oggetti Active Directory, come utenti, account di servizio e gruppi, nonché altre OU. Puoi applicare oggetti Criteri di gruppo (GPO) alle OU che crei nell'unità organizzativaCloud.
Per ulteriori informazioni, vedi Oggetti Active Directory predefiniti in Microsoft AD gestito.