AWS Konsep kunci Microsoft AD yang dikelola - AWS Directory Service
Skema Direktori AktifPatching dan pemeliharaanAkun Layanan yang Dikelola GrupDelegasi terbatas Kerberos

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Konsep kunci Microsoft AD yang dikelola

Anda akan mendapatkan lebih banyak dari Microsoft AD yang AWS Dikelola jika Anda terbiasa dengan konsep-konsep kunci berikut.

Skema Direktori Aktif

Skema adalah definisi atribut dan kelas yang merupakan bagian dari direktori terdistribusi dan mirip dengan bidang dan tabel dalam basis data. Skema termasuk seperangkat aturan yang menentukan jenis dan format data yang dapat ditambahkan atau disertakan dalam basis data. Kelas Pengguna adalah salah satu contoh dari kelas yang disimpan dalam basis data. Beberapa contoh dari atribut kelas Pengguna dapat mencakup nama depan pengguna, nama belakang, nomor telepon, dan sebagainya.

Elemen skema

Atribut, kelas dan objek adalah elemen dasar yang digunakan untuk membangun definisi objek dalam skema. Berikut ini memberikan rincian tentang elemen skema yang penting untuk diketahui sebelum Anda memulai proses untuk memperluas skema AD Microsoft AWS Terkelola Anda.

Atribut

Setiap atribut skema, yang mirip dengan bidang dalam basis data, memiliki beberapa properti yang menentukan karakteristik atribut. Misalnya, properti yang digunakan oleh LDAP klien untuk membaca dan menulis atribut adalahLDAPDisplayName. Properti LDAPDisplayName harus unik di semua atribut dan kelas. Untuk daftar lengkap karakteristik atribut, lihat Karakteristik Atribut di MSDN situs web. Untuk panduan tambahan tentang cara membuat atribut baru, lihat Mendefinisikan Atribut Baru di MSDN situs web.

Kelas

Kelas-kelas adalah analog dengan tabel dalam database dan juga memiliki beberapa sifat untuk ditentukan. Misalnya, objectClassCategory menentukan kategori kelas. Untuk daftar lengkap karakteristik kelas, lihat Karakteristik Kelas Objek di MSDN situs web. Untuk informasi selengkapnya tentang cara membuat kelas baru, lihat Mendefinisikan Kelas Baru di MSDN situs web.

Pengidentifikasi objek () OID

Setiap kelas dan atribut harus memiliki OID yang unik untuk semua objek Anda. Vendor perangkat lunak harus mendapatkan sendiri OID untuk memastikan keunikan. Keunikan menghindari konflik ketika atribut yang sama digunakan oleh lebih dari satu aplikasi untuk tujuan yang berbeda. Untuk memastikan keunikan, Anda bisa mendapatkan root OID dari Otoritas Pendaftaran ISO Nama. Atau, Anda dapat memperoleh basis OID dari Microsoft. Untuk informasi lebih lanjut tentang OIDs dan cara mendapatkannya, lihat Pengenal Objek di MSDN situs web.

Atribut terkait skema

Beberapa atribut dihubungkan antara dua kelas dengan tautan terusan dan kembali. Contoh terbaik adalah grup Ketika Anda melihat grup itu menunjukkan kepada Anda anggota grup; jika Anda melihat pengguna Anda dapat melihat grup apa yang menjadi miliknya. Ketika Anda menambahkan pengguna ke grup, Direktori Aktif membuat tautan terusan ke grup. Kemudian Direktori Aktif menambahkan tautan kembali dari grup ke pengguna. ID tautan unik harus dibuat saat membuat atribut yang akan ditautkan. Untuk informasi selengkapnya, lihat Atribut Tertaut di MSDN situs web.

Patching dan pemeliharaan Microsoft AD yang Dikelola AWS

AWS Directory Service untuk Microsoft Active Directory, juga dikenal sebagai AWS DS untuk Microsoft AD yang AWS dikelola, sebenarnya adalah Microsoft Active Directory Domain Services (AD DS), disampaikan sebagai layanan terkelola. Sistem ini menggunakan Microsoft Windows Server 2019 untuk pengontrol domain (DCs), dan AWS menambahkan perangkat lunak ke DCs untuk tujuan manajemen layanan. AWS pembaruan (tambalan) DCs untuk menambahkan fungsionalitas baru dan menjaga perangkat lunak Microsoft Windows Server tetap terkini. Selama proses patch, direktori Anda tetap tersedia untuk digunakan.

Memastikan ketersediaan

Secara default setiap direktori terdiri dari duaDCs, masing-masing diinstal di Availability Zone yang berbeda. Sesuai pilihan Anda, Anda dapat DCs menambah ketersediaan lebih lanjut. Untuk lingkungan kritis yang membutuhkan ketersediaan tinggi dan toleransi kesalahan, sebaiknya gunakan tambahan. DCs AWS menambal DCs secara berurutan, selama waktu itu DC yang secara aktif menambal AWS tidak tersedia. Jika satu atau lebih dari Anda sementara DCs tidak berfungsi, tunda AWS patching sampai direktori Anda memiliki setidaknya dua operasional. DCs Ini memungkinkan Anda menggunakan operasi lain DCs selama proses patch, yang biasanya memakan waktu 30 hingga 45 menit per DC, meskipun waktu ini dapat bervariasi. Untuk memastikan aplikasi Anda dapat mencapai DC yang beroperasi jika satu atau lebih tidak DCs tersedia karena alasan apa pun, termasuk penambalan, aplikasi Anda harus menggunakan layanan pencari lokasi Windows DC dan tidak menggunakan alamat DC statis.

Memahami jadwal patching

Untuk menjaga agar perangkat lunak Microsoft Windows Server tetap terkini pada AndaDCs, AWS gunakan pembaruan Microsoft. Karena Microsoft membuat patch rollup bulanan tersedia untuk Windows Server, AWS melakukan upaya terbaik untuk menguji dan menerapkan rollup ke semua pelanggan DCs dalam waktu tiga minggu kalender. Selain itu, AWS meninjau pembaruan yang dirilis Microsoft di luar rollup bulanan berdasarkan penerapan dan urgensi. DCs Untuk patch keamanan yang dinilai Microsoft sebagai Penting atau Penting, dan yang relevan dengannyaDCs, AWS melakukan segala upaya untuk menguji dan menyebarkan patch dalam waktu lima hari.

Akun Layanan yang Dikelola Grup

Dengan Windows Server 2012, Microsoft memperkenalkan metode baru yang dapat digunakan administrator untuk mengelola akun layanan yang disebut grup Akun Layanan Terkelola (gMSAs). MenggunakangMSAs, administrator layanan tidak lagi diperlukan untuk mengelola sinkronisasi kata sandi secara manual antara instance layanan. Sebagai gantinya, administrator cukup membuat g MSA di Active Directory dan kemudian mengonfigurasi beberapa instance layanan untuk menggunakan g MSA tunggal itu.

Untuk memberikan izin agar pengguna di Microsoft AD yang AWS Dikelola dapat membuat gMSA, Anda harus menambahkan akun mereka sebagai anggota grup keamanan Administrator Akun Layanan Terkelola AWS yang Delegasi. Secara default, akun Admin adalah anggota grup ini. Untuk informasi selengkapnyagMSAs, lihat Ikhtisar Akun Layanan Terkelola Grup di TechNet situs web Microsoft.

Posting Blog AWS Keamanan Terkait

Delegasi terbatas Kerberos

Kerberos constrained delegation adalah sebuah fitur di Windows Server. Fitur ini memberikan administrator layanan untuk menentukan dan memberlakukkan batasan kepercayaan aplikasi dengan membatasi lingkup tempat layanan aplikasi dapat bertindak atas nama pengguna. Hal ini dapat berguna ketika Anda perlu mengkonfigurasi akun layanan front-end yang dapat mendelegasikan ke layanan backend mereka. Delegasi terbatas Kerberos juga MSA mencegah g Anda terhubung ke setiap dan semua layanan atas nama pengguna Active Directory Anda, menghindari potensi penyalahgunaan oleh pengembang nakal.

Sebagai contoh, katakanlah pengguna jsmith masuk ke aplikasi HR. Anda ingin SQL Server menerapkan izin database jsmith. Namun, secara default SQL Server membuka koneksi database menggunakan kredensyal akun layanan yang menerapkan hr-app-service izin alih-alih izin yang dikonfigurasi jsmith. Anda harus memungkinkan aplikasi penggajian SDM untuk mengakses database SQL Server menggunakan kredensyal jsmith. Untuk melakukan itu, Anda mengaktifkan delegasi terbatas Kerberos untuk akun hr-app-service layanan di direktori AWS Microsoft AD Terkelola di. AWS Ketika jsmith masuk, Direktori Aktif menyediakan tiket Kerberos yang secara otomatis Windows gunakan ketika jsmith mencoba untuk mengakses layanan lain dalam jaringan. Delegasi Kerberos memungkinkan hr-app-service akun untuk menggunakan kembali tiket jsmith Kerberos saat mengakses database, sehingga menerapkan izin khusus untuk jsmith saat membuka koneksi database.

Untuk memberikan izin yang memungkinkan pengguna di Microsoft AD yang AWS Dikelola mengonfigurasi delegasi terbatas Kerberos, Anda harus menambahkan akun mereka sebagai anggota grup keamanan Administrator Delegasi Kerberos yang AWS Delegasi. Secara default, akun Admin adalah anggota grup ini. Untuk informasi selengkapnya tentang delegasi terbatas Kerberos, lihat Ikhtisar Delegasi Terbatas Kerberos di situs web Microsoft. TechNet

Delegasi terbatas berbasis sumber daya diperkenalkan dengan Windows Server 2012. Ini menyediakan layanan back-end administrator kemampuan untuk mengkonfigurasi delegasi terbatas untuk layanan.