Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Concepts clés de Microsoft AD gérés
Vous tirerez le meilleur parti de AWS Managed Microsoft AD si vous vous familiarisez avec les concepts clés suivants.
Rubriques
Schéma Active Directory
Un schéma est la définition des attributs et classes qui font partie d'un annuaire distribué et sont similaires aux champs et tables d'une base de données. Les schémas incluent un ensemble de règles qui déterminent le type et le format des données qui peuvent être ajoutées ou incluses dans la base de données. La classe Utilisateur est l'exemple d'une classe qui est stockée dans la base de données. Quelques exemples d'attributs de classe Utilisateur peuvent inclure le prénom, le nom, le numéro de téléphone de l'utilisateur, etc.
Éléments du schéma
Les attributs, les classes et les objets sont les éléments de base qui sont utilisés pour créer des définitions d'objets dans le schéma. Vous trouverez ci-dessous des détails sur les éléments de schéma qu'il est important de connaître avant de commencer le processus d'extension de votre schéma AWS Managed Microsoft AD.
- Attributs
-
Chaque attribut de schéma, qui est similaire au champ d'une base de données, possède plusieurs propriétés qui définissent les caractéristiques de l'attribut. Par exemple, la propriété utilisée par LDAP les clients pour lire et écrire l'attribut est
LDAPDisplayName. La propriétéLDAPDisplayNamedoit être unique sur tous les attributs et classes. Pour obtenir la liste complète des caractéristiques des attributs, consultez la section Caractéristiques des attributssur le MSDN site Web. Pour obtenir des instructions supplémentaires sur la création d'un nouvel attribut, consultez la section Définition d'un nouvel attribut sur le MSDN site Web. - Classes
-
Les classes sont analogues aux tables dans une base de données et disposent également de plusieurs propriétés à définir. Par exemple, le code
objectClassCategorydéfinit la catégorie de la classe. Pour une liste complète des caractéristiques des classes, consultez la section Caractéristiques des classes d'objetssur le MSDN site Web. Pour plus d'informations sur la création d'une nouvelle classe, consultez la section Définition d'une nouvelle classe sur le MSDN site Web. - Identifiant de l'objet (OID)
-
Chaque classe et chaque attribut doivent OID avoir un caractère unique pour tous vos objets. Les fournisseurs de logiciels doivent obtenir les leurs OID pour garantir leur caractère unique. L'unicité permet d'éviter les conflits lorsque le même attribut est utilisé par plus d'une application à différentes fins. Pour garantir l'unicité, vous pouvez obtenir une racine OID auprès d'une autorité d'enregistrement des ISO noms. Vous pouvez également obtenir une base OID auprès de Microsoft. Pour plus d'informations à leur sujet OIDs et pour savoir comment les obtenir, consultez la section Identifiants d'objets
sur le MSDN site Web. - Attributs liés à un schéma
Certains attributs sont liés entre deux classes par des liens suivants et précédents. Le meilleur exemple est les groupes. Lorsque vous observez un groupe, il vous montre les membres qui le composent ; si vous observez un utilisateur, vous pouvez voir les groupes auxquels il appartient. Lorsque vous ajoutez un utilisateur à un groupe, Active Directory crée un lien suivant vers le groupe. Ensuite, Active Directory ajoute un lien précédent à partir du groupe de l'utilisateur. Un ID de lien unique doit être généré lors de la création d'un attribut qui sera lié. Pour plus d'informations, consultez la section Attributs liés
sur le MSDN site Web.
Rubriques en relation
Application de correctifs et maintenance pour AWS Managed Microsoft AD
AWS Le service d'annuaire pour Microsoft Active Directory, également connu sous le nom de AWS DS pour AWS Managed Microsoft AD, est en fait les services de domaine Microsoft Active Directory (AD DS), fournis sous forme de service géré. Le système utilise Microsoft Windows Server 2019 pour les contrôleurs de domaine (DCs) et y AWS ajoute un logiciel à des DCs fins de gestion des services. AWS mises à jour (correctifs) DCs pour ajouter de nouvelles fonctionnalités et maintenir le logiciel Microsoft Windows Server à jour. Pendant le processus d'application des correctifs, votre annuaire reste disponible pour utilisation.
Garantie de la disponibilité
Par défaut, chaque répertoire est composé de deuxDCs, chacun étant installé dans une zone de disponibilité différente. À votre convenance, vous pouvez en ajouter DCs pour augmenter encore la disponibilité. Pour les environnements critiques nécessitant une haute disponibilité et une tolérance aux pannes, nous recommandons d'en déployer d'autres. DCs AWS applique des correctifs DCs séquentiels, période pendant laquelle le contrôleur de domaine qui applique activement le correctif AWS n'est pas disponible. Si un ou plusieurs de vos répertoires DCs sont temporairement hors service, AWS reportez l'application des correctifs jusqu'à ce qu'au moins deux de vos annuaires soient opérationnels. DCs Cela vous permet d'utiliser l'autre DCs pendant le processus de correction, qui prend généralement 30 à 45 minutes par DC, bien que cette durée puisse varier. Pour garantir que vos applications puissent atteindre un contrôleur de domaine en fonctionnement en cas d'indisponibilité d'un ou de plusieurs d'DCsentre eux pour une raison quelconque, y compris pour l'application de correctifs, vos applications doivent utiliser le service de localisation de contrôleurs de domaine Windows et ne pas utiliser d'adresses de domaine statiques.
Présentation de la planification d'application des correctifs
Pour maintenir le logiciel Microsoft Windows Server à jour sur votre ordinateurDCs, AWS utilisez les mises à jour Microsoft. Comme Microsoft met à disposition des correctifs cumulatifs mensuels pour Windows Server, elle AWS fait de son mieux pour tester et appliquer le correctif cumulatif à tous les clients DCs dans un délai de trois semaines calendaires. En outre, il AWS passe en revue les mises à jour publiées par Microsoft en dehors du récapitulatif mensuel en fonction de leur applicabilité et de leur urgence. DCs Pour les correctifs de sécurité considérés comme critiques ou importants par Microsoft et pour lesquels ils sont pertinentsDCs, elle AWS met tout en œuvre pour tester et déployer le correctif dans un délai de cinq jours.
Comptes de service administrés de groupe
Avec Windows Server 2012, Microsoft a introduit une nouvelle méthode que les administrateurs peuvent utiliser pour gérer les comptes de service appelée comptes de service gérés de groupe (gMSAs). Grâce à gMSAs cela, les administrateurs de service n'ont plus besoin de gérer manuellement la synchronisation des mots de passe entre les instances de service. Au lieu de cela, un administrateur pourrait simplement créer un g MSA dans Active Directory, puis configurer plusieurs instances de service pour utiliser ce g uniqueMSA.
Pour accorder des autorisations permettant aux utilisateurs de AWS Managed Microsoft AD de créer un gMSA, vous devez ajouter leurs comptes en tant que membre du groupe de sécurité AWS Delegated Managed Service Account Administrators. Par défaut, le compte administrateur est membre de ce groupe. Pour plus d'informationsgMSAs, consultez la section Présentation des comptes de services gérés par le groupe
Article AWS de blog sur la sécurité connexe
Délégation Kerberos contrainte
La délégation Kerberos contrainte est une fonctionnalité de Windows Server. Cette fonctionnalité permet aux administrateurs de services de spécifier et d'appliquer des limites d'approbation d'applications en limitant l'étendue d'intervention des services applicatifs qui agissent au nom d'un utilisateur. Cela peut être utile lorsque vous avez besoin de spécifier les comptes de service frontaux qui sont autorisés à déléguer des tâches à leurs services dorsaux. La délégation restreinte de Kerberos empêche également votre g MSA de se connecter à tous les services pour le compte de vos utilisateurs Active Directory, évitant ainsi les abus potentiels de la part d'un développeur malhonnête.
Par exemple, supposons que l'utilisateur jdupont se connecte à une application RH. Vous souhaitez que le SQL serveur applique les autorisations de base de données de jsmith. Cependant, par défaut, le SQL serveur ouvre la connexion à la base de données en utilisant les informations d'identification du compte hr-app-service de service qui s'applique au lieu des autorisations configurées par jsmith. Vous devez permettre à l'application de paie RH d'accéder à la base de données du SQL serveur à l'aide des informations d'identification du jsmith. Pour ce faire, vous activez la délégation contrainte Kerberos pour le compte de hr-app-service service dans votre répertoire Managed AWS Microsoft AD dans. AWS Lorsque jdupont se connecte, Active Directory émet un ticket Kerberos que Windows utilise automatiquement lorsque jdupont tente d'accéder à d'autres services sur le réseau. La délégation Kerberos permet au hr-app-service compte de réutiliser le ticket Kerberos jsmith lors de l'accès à la base de données, appliquant ainsi des autorisations spécifiques à jsmith lors de l'ouverture de la connexion à la base de données.
Pour accorder des autorisations permettant aux utilisateurs de AWS Managed Microsoft AD de configurer la délégation contrainte Kerberos, vous devez ajouter leurs comptes en tant que membre du groupe de sécurité AWS
Delegated Kerberos Delegation Administrators. Par défaut, le compte administrateur est membre de ce groupe. Pour plus d'informations sur la délégation contrainte de Kerberos, consultez la section Présentation de la délégation contrainte de Kerberos sur le site Web de Microsoft
La délégation contrainte basée sur les ressources
