Concetti fondamentali di Microsoft AD gestito da AWS

Potrai ottimizzare l'utilizzo di Microsoft AD gestito da AWS acquisendo familiarità con i seguenti concetti fondamentali.

Schema Active Directory

Uno schema è la definizione di attributi e classi che fanno parte di una directory distribuita ed è simile ai campi e alle tabelle in un database. Gli schemi includono un insieme di regole che determinano il tipo e il formato dei dati che possono essere aggiunti o inclusi nel database. La classe utente è un esempio di una classe archiviata nel database. Alcuni esempi di attributi della classe utente possono includere il nome, il cognome, il numero di telefono dell'utente e così via.

Elementi dello schema

Attributi, classi e oggetti sono gli elementi fondamentali utilizzati per creare definizioni di oggetti nello schema. Di seguito sono riportati alcuni dettagli sugli elementi dello schema da conoscere prima di iniziare il processo di estensione dello schema Microsoft AD gestito da AWS.

Attributi

Ogni attributo dello schema, simile a un campo in un database, presenta varie proprietà che definiscono le caratteristiche dell'attributo. Ad esempio, la proprietà utilizzata dai client LDAP per leggere e scrivere l'attributo è LDAPDisplayName. La proprietà LDAPDisplayName deve essere univoca all'interno di tutti gli attributi e le classi. Per un elenco completo delle caratteristiche di attributo, consulta la pagina relativa alle caratteristiche degli attributi sul sito Web MSDN. Per ulteriori istruzioni su come creare un nuovo attributo, consulta la pagina relativa alla definizione di un nuovo attributo sul sito Web MSDN.

Classi

Le classi sono analoghe alle tabelle di un database e presentano inoltre diverse proprietà da definire. Ad esempio, objectClassCategory definisce la categoria della classe. Per un elenco completo delle caratteristiche delle classi, consulta la pagina relativa alle caratteristiche delle classi di oggetto sul sito Web MSDN. Per ulteriori informazioni su come creare una nuova classe, consulta la pagina relativa alla definizione di una nuova classe sul sito Web MSDN.

Identificatore di oggetto (OID)

Ogni classe e attributo deve disporre di un OID univoco per tutti i tuoi oggetti. I fornitori di software devono ottenere il proprio OID per garantire l'univocità. L'univocità impedisce i conflitti quando lo stesso attributo viene utilizzato da più di un'applicazione per scopi differenti. Per garantire l'univocità, puoi ottenere un OID root da un'Autorità di registrazione nomi ISO. In alternativa, puoi ottenere un OID di base da Microsoft. Per ulteriori informazioni sugli OID e su come ottenerli, consulta la pagina relativa agli identificatori di oggetto sul sito Web MSDN.

Attributi collegati allo schema

Alcuni attributi sono collegati tra due classi con collegamenti di inoltro e di ritorno. I gruppi sono l'esempio migliore. Esaminando un gruppo, vengono visualizzati i membri del gruppo. Esaminando un utente, puoi visualizzare i gruppi ai quali appartiene. Quando aggiungi un utente a un gruppo, Active Directory crea un link di inoltro al gruppo. Quindi Active Directory aggiunge un link di ritorno dal gruppo verso l'utente. È necessario generare un ID di collegamento univoco durante la creazione di un attributo che verrà collegato. Per ulteriori informazioni, consulta la pagina relativa agli attributi collegati sul sito Web MSDN.

Argomenti correlati

• Quando estendere lo schema Microsoft AD gestito da AWS

• Tutorial: estensione dello schema AWS Managed Microsoft AD

Applicazione di patch e manutenzione per Microsoft AD gestito da AWS

AWS Directory Service per Microsoft Active Directory, noto anche come AWS DS per Microsoft AD gestito da AWS, fa parte di Microsoft Active Directory Domain Services (AD DS), fornito come servizio gestito. Il sistema utilizza Microsoft Windows Server 2019 per i controller di dominio (DC) e AWS aggiunge il software ai DC per la gestione dei servizi. AWS aggiorna i DC (applica una patch) per aggiungere nuove funzionalità e mantenere il software di Microsoft Windows Server aggiornato. Durante il processo di applicazione di patch, la directory rimane disponibile per essere utilizzata.

Verifica della disponibilità

Per impostazione predefinita ciascuna directory è composta da due DC, ognuno dei quali installato su diverse zone di disponibilità. A tua scelta, puoi aggiungere DC per aumentare ulteriormente la disponibilità. Per ambienti critici che richiedono elevata disponibilità e tolleranza agli errori, consigliamo di implementare controller di dominio aggiuntivi. AWSapplica le patch ai controller di dominio in sequenza, durante il quale il controller di dominio che esegue attivamente le patch non è disponibile. AWS Nel caso in cui uno o più dei DC sia temporaneamente fuori servizio, AWS posticipa l'applicazione di patch finché la directory non avrà almeno due DC operativi. Ciò ti permette di utilizzare i DC operativi durante il processo di applicazione della patch, il quale solitamente richiede 30-45 minuti per DC, sebbene questa quantità di tempo possa variare. Per assicurarti che le applicazioni possano raggiungere un DC operativo nel caso in cui uno o più DC non siano disponibili per varie ragioni, incluso il processo di applicazione della patch, tali applicazioni devono utilizzare il servizio di localizzazione DC di Windows e non indirizzi DC statici.

Comprendere la pianificazione dell'applicazione di patch

Per mantenere il software Microsoft Windows Server aggiornato sui tuoi DC, AWS utilizza gli aggiornamenti di Microsoft. Poiché Microsoft rende disponibile il rollup delle patch mensile per Windows server, AWS si sforza di verificare e applicare il rollup a tutti i DC personalizzati entro tre settimane di calendario. Inoltre, AWS esamina gli aggiornamenti rilasciati da Microsoft al di fuori del rollup mensile in base all'applicabilità ai DC e all'urgenza. Per le patch di sicurezza che Microsoft valuta come critiche o importanti che siano pertinenti ai DC, AWS si sforza di verificare e distribuire la patch entro cinque giorni.

Account del servizio gestito del gruppo

Con Windows Server 2012, Microsoft ha introdotto un nuovo metodo utilizzabile dagli amministratori per gestire gli account di servizio chiamati account del servizio gestito del gruppo. Tramite gli account del servizio gestito del gruppo, gli amministratori dei servizi non devono più gestire manualmente la sincronizzazione delle password tra le istanze del servizio. Al contrario, un amministratore può semplicemente creare un account del servizio gestito del gruppo in Active Directory, quindi configurare più istanze del servizio per l'utilizzo di quell'unico account.

Per concedere le autorizzazioni in modo che gli utenti in Microsoft AD gestito da AWS siano in grado di creare un account del servizio gestito del gruppo, è necessario aggiungere i loro account come membri del gruppo di sicurezza Amministratori dell'account del servizio gestito delegati AWS. Per impostazione predefinita, l'account Admin è un membro di questo gruppo. Per ulteriori informazioni sulle GMSAS, vedere Panoramica degli account dei servizi gestiti di gruppo sul sito Web di Microsoft. TechNet

Articolo correlato del blog AWS sulla sicurezza

• In che modo AWS Managed Microsoft AD aiuta a semplificare la distribuzione e a migliorare la sicurezza delle applicazioni .NET integrate con Active Directory

Delega vincolata Kerberos

La delega vincolata Kerberos è una funzionalità di Windows Server. Questa funzionalità offre agli amministratori dei servizi la possibilità di specificare e applicare limiti di attendibilità delle applicazioni limitando l'ambito in cui è consentito agire per conto di un utente ai servizi delle applicazioni. Questo può essere utile quando è necessario configurare quali account di servizio front-end possono delegare ai propri servizi back-end. La delega vincolata Kerberos impedisce inoltre agli account del servizio gestito del gruppo di connettersi a qualsiasi o a tutti i servizi per conto degli utenti di Active Directory, riducendo la probabilità di un uso illecito da parte di sviluppatori non autorizzati.

Ad esempio, supponiamo che l'utente jsmith acceda a una applicazione per le risorse umane. Vuoi che SQL Server applichi le autorizzazioni del database di jsmith. Tuttavia, per impostazione predefinita, SQL Server apre la connessione al database utilizzando le credenziali dell'account di servizio che applicano hr-app-service le autorizzazioni anziché le autorizzazioni configurate da jsmith. È necessario consentire all'applicazione del libro paga delle risorse umane di accedere al database di SQL Server tramite le credenziali di jsmith. A tale scopo, abilita la delega vincolata Kerberos per l'account di hr-app-service servizio nella directory Managed AWS Microsoft AD in. AWS Quando jsmith esegue l'accesso, Active Directory fornisce un ticket Kerberos che Windows utilizzerà automaticamente al tentativo di jsmith di accedere ad altri servizi della rete. La delega Kerberos consente all' hr-app-service account di riutilizzare il ticket jsmith Kerberos per accedere al database, applicando così le autorizzazioni specifiche di jsmith all'apertura della connessione al database.

Per concedere le autorizzazioni che permettono agli utenti in Microsoft AD gestito da AWS di configurare la delega vincolata Kerberos, è necessario aggiungere i loro account come membri del gruppo di sicurezza Amministratori delegati AWS della delega Kerberos. Per impostazione predefinita, l'account Admin è un membro di questo gruppo. Per ulteriori informazioni sulla delega vincolata Kerberos, vedere Panoramica sulla delega vincolata Kerberos sul sito Web Microsoft. TechNet

La delega vincolata basata su risorse è stata introdotta con Windows Server 2012. Fornisce all'amministratore del servizio back-end la possibilità di configurare la delega vincolata per il servizio.