Konsep kunci untuk Microsoft AD yang Dikelola AWS - AWS Directory Service
Skema Direktori AktifPatching dan pemeliharaanAkun Layanan yang Dikelola GrupDelegasi terbatas Kerberos

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konsep kunci untuk Microsoft AD yang Dikelola AWS

Anda akan mendapatkan lebih banyak dari Microsoft AD yang Dikelola AWS jika Anda terbiasa dengan konsep-konsep kunci berikut.

Skema Direktori Aktif

Skema adalah definisi atribut dan kelas yang merupakan bagian dari direktori terdistribusi dan mirip dengan bidang dan tabel dalam basis data. Skema termasuk seperangkat aturan yang menentukan jenis dan format data yang dapat ditambahkan atau disertakan dalam basis data. Kelas Pengguna adalah salah satu contoh dari kelas yang disimpan dalam basis data. Beberapa contoh dari atribut kelas Pengguna dapat mencakup nama depan pengguna, nama belakang, nomor telepon, dan sebagainya.

Elemen skema

Atribut, kelas dan objek adalah elemen dasar yang digunakan untuk membangun definisi objek dalam skema. Hal berikut ini memberikan detail tentang elemen skema yang penting untuk diketahui sebelum Anda memulai proses untuk memperpanjang skema Microsoft AD yang Dikelola AWS Anda.

Atribut

Setiap atribut skema, yang mirip dengan bidang dalam basis data, memiliki beberapa properti yang menentukan karakteristik atribut. Misalnya, properti yang digunakan oleh klien LDAP untuk membaca dan menulis atribut LDAPDisplayName. Properti LDAPDisplayName harus unik di semua atribut dan kelas. Untuk daftar lengkap karakteristik atribut, lihat Karakteristik Atribut pada situs web MSDN. Untuk pedoman tambahan tentang cara membuat atribut baru, lihat Menentukan Atribut Baru pada situs web MSDN.

Kelas

Kelas-kelas adalah analog dengan tabel dalam database dan juga memiliki beberapa sifat untuk ditentukan. Misalnya, objectClassCategory menentukan kategori kelas. Untuk daftar lengkap karakteristik atribut, lihat Karakteristik Atribut pada situs web MSDN. Untuk informasi selengkapnya tentang cara membuat kelas baru, lihat Menentukan Kelas Baru pada situs web MSDN.

Pengenal objek (OID)

Setiap kelas dan atribut harus memiliki OID yang unik untuk semua objek Anda. Vendor perangkat lunak harus mendapatkan OID mereka sendiri untuk memastikan keunikan. Keunikan menghindari konflik ketika atribut yang sama digunakan oleh lebih dari satu aplikasi untuk tujuan yang berbeda. Untuk memastikan keunikan, Anda dapat memperoleh OID root dari Otoritas Pendaftaran Nama ISO. Atau, Anda dapat memperoleh dasar OID dari Microsoft. Untuk informasi selengkapnya tentang OID dan cara mendapatkannya, lihat Pengidentifikasi objek pada situs web MSDN.

Atribut terkait skema

Beberapa atribut dihubungkan antara dua kelas dengan tautan terusan dan kembali. Contoh terbaik adalah grup Ketika Anda melihat grup itu menunjukkan kepada Anda anggota grup; jika Anda melihat pengguna Anda dapat melihat grup apa yang menjadi miliknya. Ketika Anda menambahkan pengguna ke grup, Direktori Aktif membuat tautan terusan ke grup. Kemudian Direktori Aktif menambahkan tautan kembali dari grup ke pengguna. ID tautan unik harus dibuat saat membuat atribut yang akan ditautkan. Untuk informasi selengkapnya, lihat Atribut Tertaut pada situs web MSDN.

Patching dan pemeliharaan Microsoft AD yang Dikelola AWS

Directory Service untuk Microsoft Active Directory AWS, juga dikenal sebagai DS AWS untuk Microsoft AD yang Dikelola AWS, sebenarnya merupakan Microsoft Active Directory Domain Services (AD DS), disampaikan sebagai layanan terkelola. Sistem ini menggunakan Microsoft Windows Server 2019 untuk pengontrol domain (DC), dan AWS menambahkan perangkat lunak ke DC untuk tujuan manajemen layanan. AWSpembaruan (tambalan) DC untuk menambahkan fungsionalitas baru dan menjaga perangkat lunak Microsoft Windows Server tetap terkini. Selama proses patch, direktori Anda tetap tersedia untuk digunakan.

Memastikan ketersediaan

Secara default setiap direktori terdiri dari dua DC, masing-masing diinstal di Availability Zone yang berbeda. Sesuai pilihan Anda, Anda dapat menambahkan DC untuk lebih meningkatkan ketersediaan. Untuk lingkungan kritis yang membutuhkan ketersediaan tinggi dan toleransi kesalahan, sebaiknya gunakan DC tambahan. AWSmenambal DC Anda secara berurutan, selama waktu itu DC yang secara aktif menambal AWS tidak tersedia. Jika satu atau lebih DC Anda tidak berfungsi sementara, AWS menunda patching sampai direktori Anda memiliki setidaknya dua DC operasional. Hal ini memungkinkan Anda menggunakan DC operasi lain selama proses patch, yang biasanya memakan waktu 30 sampai 45 menit per DC, meskipun kali ini dapat bervariasi. Untuk memastikan aplikasi Anda dapat mencapai operasi DC jika satu atau lebih DC tidak tersedia untuk alasan apapun, termasuk mem-patch, aplikasi Anda harus menggunakan layanan locator Windows DC dan tidak menggunakan alamat DC statis.

Memahami jadwal patching

Untuk menjaga perangkat lunak Microsoft Windows Server saat ini pada DC Anda, AWS memanfaatkan pembaruan Microsoft. Karena Microsoft membuat patch rollup bulanan tersedia untuk Windows Server, AWS membuat upaya terbaik untuk menguji dan menerapkan rollup untuk semua DC pelanggan dalam waktu tiga minggu kalender. Selain itu, AWS meninjau pembaruan yang dirilis Microsoft di luar rollup bulanan berdasarkan penerapan untuk DC dan urgensi. Untuk patch keamanan yang Microsoft nilai sebagai Kritis atau Penting, dan yang relevan dengan DC, AWS melakukan segala upaya untuk menguji dan men-deploy patch dalam waktu lima hari.

Akun Layanan yang Dikelola Grup

Dengan Windows Server 2012, Microsoft memperkenalkan metode baru yang dapat digunakan administrator untuk mengelola akun layanan yang disebut Akun Layanan yang Dikelola grup (gMSAs). Menggunakan gMSAs, administrator layanan tidak lagi diperlukan untuk secara manual mengelola sandi sinkronisasi antara instans layanan. Sebaliknya, administrator hanya dapat membuat gMSA di Direktori Aktif dan kemudian mengkonfigurasi beberapa instans layanan untuk menggunakan gMSA tunggal.

Untuk memberikan izin sehingga pengguna di Microsoft AD yang Dikelola AWS dapat membuat gMSA, Anda harus menambahkan akun mereka sebagai anggota dari grup keamanan Administrator Akun Layanan Terkelola yang Didelegasikan AWS. Secara default, akun Admin adalah anggota grup ini. Untuk informasi selengkapnya tentang GMSA, lihat Ringkasan Akun Layanan Terkelola Grup di situs web Microsoft. TechNet

Posting Blog AWS Keamanan Terkait

Delegasi terbatas Kerberos

Kerberos constrained delegation adalah sebuah fitur di Windows Server. Fitur ini memberikan administrator layanan untuk menentukan dan memberlakukkan batasan kepercayaan aplikasi dengan membatasi lingkup tempat layanan aplikasi dapat bertindak atas nama pengguna. Hal ini dapat berguna ketika Anda perlu mengkonfigurasi akun layanan front-end yang dapat mendelegasikan ke layanan backend mereka. Kerberos constrained delegation juga mencegah gMSA Anda untuk menghubungkan ke setiap dan semua layanan atas nama pengguna Direktori Aktif Anda, menghindari potensi penyalahgunaan oleh developer nakal.

Sebagai contoh, katakanlah pengguna jsmith masuk ke aplikasi HR. Anda ingin SQL Server untuk menerapkan izin basis data jsmith. Namun, secara default SQL Server membuka koneksi database menggunakan kredensyal akun layanan yang menerapkan hr-app-service izin alih-alih izin yang dikonfigurasi jsmith. Anda harus membuatnya mungkin untuk aplikasi HR penggajian untuk mengakses basis data SQL Server menggunakan kredensial jsmith. Untuk melakukannya, Anda mengaktifkan delegasi terbatas Kerberos untuk akun hr-app-service layanan di direktori AWS Microsoft AD Terkelola di. AWS Ketika jsmith masuk, Direktori Aktif menyediakan tiket Kerberos yang secara otomatis Windows gunakan ketika jsmith mencoba untuk mengakses layanan lain dalam jaringan. Delegasi Kerberos memungkinkan hr-app-service akun untuk menggunakan kembali tiket jsmith Kerberos saat mengakses database, sehingga menerapkan izin khusus untuk jsmith saat membuka koneksi database.

Untuk memberikan izin yang memungkinkan pengguna di Microsoft AD yang Dikelola AWS untuk mengkonfigurasi delegasi terbatas Kerberos, Anda harus menambahkan akun mereka sebagai anggota dari grup keamanan Administrator Delegasi Kerberos yang Didelegasikan AWS. Secara default, akun Admin adalah anggota grup ini. Untuk informasi selengkapnya tentang delegasi terbatas Kerberos, lihat Ikhtisar Delegasi Terbatas Kerberos di situs web Microsoft. TechNet

Delegasi terbatas berbasis sumber daya diperkenalkan dengan Windows Server 2012. Ini menyediakan layanan back-end administrator kemampuan untuk mengkonfigurasi delegasi terbatas untuk layanan.