Wichtige Konzepte für AWS Managed Microsoft AD - AWS Directory Service
Active-Directory-SchemaPatchen und WartungGruppenverwaltete Service-KontenEingeschränkte Kerberos-Delegierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wichtige Konzepte für AWS Managed Microsoft AD

Sie können AWS Managed Microsoft AD besser nutzen, wenn Sie mit den folgenden wesentlichen Konzepten vertraut sind.

Active-Directory-Schema

Ein Schema ist die Definition von Attributen und Klassen, die Teil eines verteilten Verzeichnisses sind, ähnlich wie Felder und Tabellen in einer Datenbank. Schemas umfassen eine Reihe von Regeln, die die Art und das Format der Daten bestimmen, die hinzugefügt oder in der Datenbank gespeichert werden. Die Benutzerklasse ist ein Beispiel für eine Klasse, die in der Datenbank gespeichert ist. Beispielsweise können Benutzerklasse-Attribute Vorname, Nachname, Telefonnummer und so weiter sein.

Schemaelemente

Attribute, Klassen und Objekte sind die grundlegenden Elemente zum Erstellen von Objektdefinitionen im Schema. Im Folgenden finden Sie Details zu Schemaelementen, die Sie kennen sollten, bevor Sie mit der Erweiterung Ihres AWS-Managed-Microsoft-AD-Schemas beginnen.

Attribute

Schemaattribute können mit den Feldern in einer Datenbank verglichen werden. Jedes Schemaattribut hat mehrere Eigenschaften, die die Merkmale des Attributs definieren. Die Eigenschaft, die von LDAP-Clients zum Lesen und Schreiben des Attributs verwendet wird, lautet beispielsweise LDAPDisplayName. Die Eigenschaft LDAPDisplayName muss für alle Attribute und Klassen eindeutig sein. Eine vollständige Liste der Attributeigenschaften finden Sie auf der MSDN-Website im Bereich mit den Merkmalen von Attributen. Weitere Informationen zum Erstellen eines neuen Attributs finden Sie auf der MSDN-Website im Bereich zum Definieren eines neuen Attributs.

Klassen

Klassen sind vergleichbar mit Tabellen in einer Datenbank und haben ebenfalls verschiedene definierbare Eigenschaften. objectClassCategory definiert zum Beispiel die Kategorie der Klasse. Eine vollständige Liste der Klasseneigenschaften finden Sie auf der MSDN-Website im Bereich mit den Merkmalen von Objektklassen. Weitere Informationen zum Erstellen einer neuen Klasse finden Sie auf der MSDN-Website im Bereich zum Definieren einer neuen Klasse.

Objekt-ID (OID)

Alle Klassen und Attribute müssen für alle Ihre Objekte eine eindeutige OID aufweisen. Softwareanbieter müssen eine eigene OID abrufen, damit die Eindeutigkeit gewährleistet werden kann. Die Eindeutigkeit verhindert Konflikte, wenn dasselbe Attribut von mehreren Anwendungen für unterschiedliche Zwecke genutzt wird. Damit die Eindeutigkeit gewährleistet wird, können Sie eine Stamm-OID von einer Namensregistrierungsstelle gemäß ISO anfordern. Sie haben auch die Möglichkeit, eine Basis-OID von Microsoft zu erhalten. Weitere Informationen zu OIDs und zum Anfordern von OIDs finden Sie auf der MSDN-Website im Bereich zu Objektkennungen.

Mit einem Schema verknüpfte Attribute

Einige Attribute sind über Forward- und Back-Links zwischen zwei Klassen verknüpft. Das beste Beispiel hierfür sind Gruppen. Wenn Sie eine Gruppe aufrufen, sehen Sie die zugehörigen Mitglieder. Wenn Sie einen Benutzer aufrufen, sehen Sie, zu welchen Gruppen er gehört. Wenn Sie einer Gruppe einen Benutzer hinzufügen, erstellt Active Directory einen Forward-Link zur Gruppe. Zudem fügt Active Directory einen Back-Link von der Gruppe zum Benutzer hinzu. Beim Erstellen eines Attributs, das verknüpft werden soll, muss eine eindeutige Link-ID generiert werden. Weitere Informationen finden Sie auf der MSDN-Website im Bereich zu verknüpften Attributen.

Patchen und Wartung für AWS Managed Microsoft AD

AWS Directory Service for Microsoft Active Directory, auch als AWS DS für AWS Managed Microsoft AD bezeichnet, ist eigentlich Microsoft Active Directory Domain Services (AD DS), das als verwalteter Service bereitgestellt wird. Das System verwendet Microsoft Windows Server 2019 für die Domain-Controller (DCs). AWS fügt den Domain-Controllern Software für die Verwaltung von Diensten hinzu. AWS aktualisiert (patcht) Domain-Controller, um neue Funktionalität hinzuzufügen und die Software von Microsoft Windows Server auf dem aktuellen Stand zu halten. Während des Patchings kann Ihr Verzeichnis weiterhin genutzt werden.

Sicherstellen der Verfügbarkeit

Standardmäßig besteht jedes Verzeichnis aus zwei DCs, die jeweils in einer anderen Availability Zone installiert sind. Nach Ihrer Wahl können Sie DCs hinzufügen, um die Verfügbarkeit weiter zu erhöhen. Für kritische Umgebungen, die hohe Verfügbarkeit und Fehlertoleranz erfordern, empfehlen wir den Einsatz zusätzlicher DCs. AWSpatcht Ihre DCs sequentiell. Während dieser Zeit ist der DC, der aktiv patcht, nicht verfügbar. AWS Wenn ein oder mehrere Domain-Controller vorübergehend außer Betrieb sind, verschiebt AWS das Patching auf einen späteren Zeitpunkt, bis für das Verzeichnis wieder mindestens zwei ausgeführte Domain-Controller verfügbar sind. Auf diese Weise können Sie die anderen funktionierenden DCs während des Patch-Prozesses verwenden, der in der Regel 30 bis 45 Minuten pro DC dauert, wobei diese Zeit jedoch variieren kann. Um sicherzustellen, dass Ihre Anwendungen einen funktionierenden DC erreichen können, wenn einer oder mehrere Ihrer DCs aus irgendeinem Grund nicht verfügbar ist bzw. sind, wie beispielsweise auch beim Patching, sollten Ihre Anwendungen den Windows DC Locator Service nutzen und keine statischen DC-Adressen verwenden.

Verstehen des Patch-Zeitplans

Um die Microsoft Windows Server-Software auf Ihren DCs auf dem aktuellen Stand zu halten, nutzt AWS Microsoft-Updates. Da Microsoft monatlich Rollup-Patches für Windows Server bereitstellt, testet AWS das Rollup so gut wie möglich und wendet es möglichst innerhalb von drei Kalenderwochen auf alle Kunden-DCs an. Darüber hinaus prüft AWS Updates, die Microsoft außerhalb des monatlichen Rollups veröffentlicht, abhängig von ihrer Anwendbarkeit auf DCs und ihrer Priorität. Im Fall von Sicherheits-Patches, die Microsoft als kritisch oder wichtig einordnet und die für DCs relevant sind, strebt AWS an, den Patch innerhalb von fünf Tagen zu testen und bereitzustellen.

Gruppenverwaltete Service-Konten

Mit Windows Server 2012 hat Microsoft eine neue Methode eingeführt, wie Administratoren Service-Konten verwalten können, sogenannte gruppenverwaltete Service-Konten (group Managed Service Accounts, gMSAs). Dank gMSAs müssen die Service-Administratoren die Passwortsynchronisierung zwischen Service-Instances nicht mehr manuell verwalten. Stattdessen kann ein Administrator einfach ein gMSA in Active Directory erstellen und dann mehrere Service-Instances konfigurieren, um dieses einzelne gMSA zu verwenden.

Um Benutzern in AWS Managed Microsoft AD die nötigen Berechtigungen zu erteilen, damit diese ein gMSA erstellen können, müssen Sie ihre Konten der Sicherheitsgruppe AWS Delegated Managed Service Account Administrators als Mitglied hinzufügen. Standardmäßig ist das Admin-Konto ein Mitglied dieser Gruppe. Weitere Informationen zu gMSAs finden Sie auf der TechNet Microsoft-Website unter Group Managed Service Accounts Overview.

Zugehöriger Blog-Post zur Sicherheit in AWS

Eingeschränkte Kerberos-Delegierung

Die eingeschränkte Kerberos-Delegierung ist ein Feature in Windows Server. Mit diesem Feature erhalten Service-Administratoren die Möglichkeit, Vertrauensgrenzen für Anwendungen anzugeben und zu erzwingen, indem der Umfang begrenzt wird, in dem die Anwendungsservices für einen Benutzer agieren können. Dies kann nützlich sein, wenn Sie konfigurieren müssen, welche Front-End-Service-Konten etwas an ihre Back-End-Services delegieren können. Die eingeschränkte Kerberos-Delegierung verhindert auch, dass sich Ihr gMSA mit beliebigen Services für Ihre Active Directory-Benutzer verbindet, womit potenzieller Missbrauch durch einen nicht autorisierten Entwickler vermieden wird.

Angenommen, Benutzer jsmith meldet sich bei einer HR-Anwendung an. Sie möchten, dass der SQL Server die Datenbankberechtigungen von jsmith anwendet. Standardmäßig öffnet SQL Server die Datenbankverbindung jedoch mit den Anmeldeinformationen für das Dienstkonto, die für das jeweilige Konto gelten hr-app-service, und nicht mit den konfigurierten Berechtigungen von jsmith. Sie müssen der Anwendung für die HR-Gehaltsabrechnung den Zugriff auf die SQL Server-Datenbank unter Verwendung der Berechtigungen von jsmith ermöglichen. Dazu aktivieren Sie die eingeschränkte Kerberos-Delegierung für das hr-app-service Dienstkonto in Ihrem AWS verwalteten Microsoft AD-Verzeichnis in. AWS Wenn sich jsmith anmeldet, stellt Active Directory ein Kerberos-Ticket aus, das Windows automatisch verwendet, wenn jsmith versucht, auf andere Dienste im Netzwerk zuzugreifen. Die Kerberos-Delegierung ermöglicht es dem hr-app-service Konto, das Kerberos-Ticket von jsmith beim Zugriff auf die Datenbank wiederzuverwenden, wodurch beim Öffnen der Datenbankverbindung spezifische Berechtigungen für jsmith zugewiesen werden.

Um Berechtigungen zu erteilen, mit denen Benutzer in AWS Managed Microsoft AD die eingeschränkte Kerberos-Delegierung konfigurieren können, müssen Sie ihre Konten der Sicherheitsgruppe AWS Delegated Kerberos Delegation Administrators als Mitglieder hinzufügen. Standardmäßig ist das Admin-Konto ein Mitglied dieser Gruppe. Weitere Informationen zur eingeschränkten Kerberos-Delegierung finden Sie unter Übersicht über die eingeschränkte Kerberos-Delegierung auf der Microsoft-Website. TechNet

Die ressourcenbasierte eingeschränkte Delegierung wurde mit Windows Server 2012 eingeführt. Sie bietet dem Back-End-Service-Administrator die Möglichkeit, die eingeschränkte Delegierung für den Service zu konfigurieren.