Managed Service for Microsoft Active Directory (Managed Microsoft AD) 提供由 Google Cloud托管的高可用性、经过安全加固的 Microsoft Active Directory 网域。该服务有助于减少管理 Active Directory 所需的重要但单调的行政任务,同时将您的 Active Directory 业务拓展到云端。
Managed Microsoft AD 允许通过林级信任,从 Google Cloud 连接到您现有的本地 Active Directory 基础架构,从而安全地访问您组织的数据。
托管式 Microsoft AD 的工作原理
托管式 Microsoft AD 在 Windows 虚拟机上运行原版 Microsoft Active Directory 网域控制器,以确保应用兼容性。该服务将为您创建和维护网域控制器,从而减少您需要管理的维护任务。
多区域支持
在与 Google Cloud的全球低延迟虚拟私有云 (VPC) 建立对等互连时,Managed Microsoft AD 支持在多区域部署 Active Directory 林。在 VPC 中,您可以将托管式 Microsoft AD 扩展到多个地区,而无需在地区之间进行 VPC 对等互连或混合连接。这种灵活性意味着您不需要在基础架构所在的地区部署托管式 Microsoft AD,也不必为每个地区单创建独一个网域。您可以将网域扩展到最多四个受支持的区域,以提高对区域中断的容错性,并根据需要在其他区域部署网域控制器,轻松进行横向扩缩。为了保持高可用性并提高容错能力,Managed Microsoft AD 会在每个区域的非重叠 Google Cloud 可用区中部署两个网域控制器。
林设计模型
托管式 Microsoft AD 支持以下 Active Directory 林设计模型:
组织林:同一林包含独立管理的用户账号和资源。
资源林:单独的林用于管理资源。
访问受限林:一个单独的林包含用户账号和数据,必须与组织的其余部分隔离。
详细了解 AD 林设计模型以及如何为您的组织选择合适的模型。
托管式 Microsoft AD 有何不同
托管式 Microsoft AD 在许多方面都不同于传统的 Active Directory 部署。
实施 Active Directory 的传统部署时,您必须:
手动设计和部署组织的高可用性 AD 拓扑。
手动运行 AD 诊断以确保网域运行状况良好,包括跟踪 DNS、复制、身份验证、CPU 负载等。
手动创建备份计划并验证组织的灾难恢复响应。
手动为托管 AD 网域的网络定义防火墙规则。
确保在同一网络上运行的其他服务器不会危害您的 AD 网域。
手动修补 AD 网域控制器。
设计和实施安全最佳做法,例如对网域管理员账号的限时访问。
确保只有受信任的用户拥有对运行 AD 域控制器资源的管理员权限。
Managed Microsoft AD 通过自动化本节前面列出的多个任务,帮助减少设置和维护 Active Directory 网域所需的工作量。
开始使用托管式 Microsoft AD
要开始使用 Managed Microsoft AD,请指定 Managed Microsoft AD 网域的名称以及获得授权使用 Managed Microsoft AD 网域的 Google Cloud VPC 网络。您可以通过授权的 Google Cloud VPC 网络中的虚拟机访问 Managed Microsoft AD 网域,或通过 VPN 或 Cloud Interconnect 连接到 Google Cloud的本地基础架构和其他云产品访问该网域。
Managed Microsoft AD 提供以下 AD 对象:
委派管理员账号。使用该账号来管理您的 Active Directory 网域。
Cloud组织部门 (OU)。使用Cloud组织单位来创建您的 Active Directory 对象,例如用户、服务账号、组以及其他组织单位。您可以将组策略对象 (GPO) 应用于Cloud组织单位下创建的组织单位。
如需了解详情,请参阅 Managed Microsoft AD 中的默认 Active Directory 对象。