Principais conceitos do AWS Managed Microsoft AD - AWS Directory Service
Esquema do Active DirectoryPatches e manutençãoContas de serviço gerenciadas pelo grupoDelegação restrita de Kerberos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Principais conceitos do AWS Managed Microsoft AD

Você aproveitará ao máximo o AWS Managed Microsoft AD se conhecer seus principais conceitos.

Esquema do Active Directory

Um esquema é a definição de atributos e classes que fazem parte de um diretório distribuído, e é semelhante a campos e tabelas em um banco de dados. Os esquemas incluem um conjunto de regras que determinam o tipo e o formato dos dados que podem ser adicionados ou incluídos no banco de dados. A classe User é um exemplo de uma classe que é armazenada no banco de dados. Alguns exemplos de atributos da classe User podem incluir o nome, o sobrenome, o número do telefone e outras informações do usuário.

Elementos do esquema

Atributos, classes e objetos são os elementos básicos usados para compilar definições de objeto no esquema. Os tópicos a seguir fornecem detalhes sobre os elementos de esquema que você deve conhecer antes de iniciar o processo de estender seu esquema do AWS Managed Microsoft AD.

Atributos

Cada atributo do esquema, que é semelhante a um campo em um banco de dados, tem várias propriedades que definem as características do atributo. Por exemplo, a propriedade usada por clientes LDAP para ler e gravar o atributo é LDAPDisplayName. A propriedade LDAPDisplayName deve ser exclusiva em todos os atributos e classes. Para obter uma lista completa de características de atributo, consulte Características de atributos no site MSDN. Para obter mais orientações sobre como criar um novo atributo, consulte Definindo um novo atributo no site MSDN.

Classes

As classes são análogas às tabelas em um banco de dados e também têm várias propriedades a serem definidas. Por exemplo, objectClassCategory define a categoria de classe. Para obter uma lista completa de características de classe, consulte Características de classes de objeto no site MSDN. Para obter mais informações sobre como criar uma classe nova, consulte Definindo uma nova classe no site MSDN.

Identificador de objeto (OID)

Cada classe e atributo deve ter um OID que seja exclusivo para todos os seus objetos. Os fornecedores de software devem ter seu próprio OID para garantir a unicidade. A unicidade evita conflitos quando o mesmo atributo é usado por mais de um aplicativo para propósitos diferentes. Para garantir a unicidade, você pode obter o OID raiz de uma Autoridade de registro de nome ISO. Como alternativa, você pode obter um OID base da Microsoft. Para obter mais informações sobre OIDs e como obtê-los, consulte Identificadores de objeto no site MSDN.

Atributos vinculados a esquema

Alguns atributos estão vinculados entre duas classes com links sequenciais e regressivos. O melhor exemplo são os grupos. Quando olha para um grupo, você vê os membros do grupo; se olha para um usuário, você vê a que grupos o usuário pertence. Quando você adiciona um usuário a um grupo, o Active Directory cria um link sequencial com o grupo. Então o Active Directory adiciona um link regressivo do grupo até o usuário. Um ID de link exclusivo deve ser gerado ao criar-se um atributo que será vinculado. Para obter mais informações, consulte Atributos vinculados no site MSDN.

Patches e manutenção do AWS Managed Microsoft AD

O AWS Directory Service for Microsoft Active Directory, também conhecido como AWS DS para AWS Managed Microsoft AD, é, na verdade, o Microsoft Active Directory Domain Services (AD DS) fornecido como um serviço gerenciado. O sistema usa o Microsoft Windows Server 2019 para os controladores de domínio (DCs), e a AWS adiciona software aos DCs para fins de gerenciamento do serviço. A AWS atualiza (aplica patches) aos DCs para adicionar novas funcionalidades e manter o software do Microsoft Windows Server atualizado. Durante o processo de aplicação de patches, seu diretório permanece disponível para uso.

Garantia da disponibilidade

Por padrão, cada diretório consiste em dois DCs, cada um instalado em uma zona de disponibilidade diferente. A seu critério, você pode adicionar DCs para aumentar ainda mais a disponibilidade. Para ambientes críticos que precisam de alta disponibilidade e tolerância a falhas, recomendamos a implantação de DCs adicionais. AWScorrige seus DCs sequencialmente, período durante o qual o DC que AWS está ativamente aplicando patches fica indisponível. Caso um ou mais de seus DCs esteja temporariamente fora de serviço, a AWS adiará a aplicação de patches até que o diretório tenha pelo menos dois DCs operacionais. Isso permite usar os outros DCs operacionais durante o processo de aplicação de patches, o que geralmente leva de 30 a 45 minutos por DC, embora esse tempo possa variar. Para garantir que seus aplicativos possam acessar um DC operacional no caso de um ou mais DCs estarem indisponíveis por qualquer motivo, incluindo a aplicação de patches, seus aplicativos deverão usar o serviço de localizador do Windows DC e não usar endereços DC estáticos.

Noções básicas sobre o cronograma de aplicação de patches

Para manter o software do Microsoft Windows Server atualizado em seus DCs, a AWS utiliza as atualizações da Microsoft. Como a Microsoft disponibiliza o pacote cumulativo de patches mensalmente para o Windows Server, a AWS faz o melhor esforço para testar e aplicar o pacote cumulativo em todos os DCs do cliente dentro de três semanas. Além disso, a AWS revisa as atualizações que a Microsoft libera fora do pacote cumulativo mensal com base na aplicabilidade aos DCs e na urgência. Para patches de segurança que a Microsoft classifica como Críticos ou Importantes e que são relevantes para os DCs, a AWS faz todos os esforços para testar e implantar o patch dentro de cinco dias.

Contas de serviço gerenciadas pelo grupo

Com o Windows Server 2012, a Microsoft apresentou um método novo que os administradores poderiam usar para gerenciar as contas de serviço chamado Contas de serviço gerenciadas pelo grupo (gMSAs). Com o método gMSAs, os administradores de serviço não precisam mais gerenciar manualmente a sincronização da senha entre instâncias do serviço. Em vez disso, um administrador poderia simplesmente criar um gMSA no Active Directory e configurar várias instâncias de serviço para usar aquele mesmo gMSA.

Para conceder permissões de forma que os usuários do AWS Managed Microsoft AD possam criar um gMSA, você deve adicionar suas contas como um membro do grupo de segurança Administradores delegados da conta de serviço gerenciado da AWS. Por padrão, a conta de administrador é um membro desse grupo. Para obter mais informações sobre GMSAs, consulte Visão geral das contas de serviço gerenciadas em grupo no site da Microsoft. TechNet

Postagem do blog de segurança da AWS relacionada

Delegação restrita de Kerberos

A delegação restrita de Kerberos é um recurso do Windows Server. Esse recursos oferece aos administradores de sistema a capacidade de especificar e impor limites de confiança de aplicativo reduzindo o escopo em que os serviços de aplicativo podem atuar em nome de um usuário. Isso pode ser útil quando você precisa configurar quais contas de serviço de front-end podem delegar aos serviços de back-end. A delegação restrita de Kerberos também impede que o gMSA se conecte a todo e qualquer serviço em nome dos seus usuários do Active Directory, o que impede um possível abuso por parte de um desenvolvedor mal-intencionado (invasor).

Por exemplo, digamos que o usuário jsmith faça login em um aplicativo de HR. Você deseja que o SQL Server aplique as permissões de banco de dados de jsmith. No entanto, por padrão, o SQL Server abre a conexão do banco de dados usando as credenciais da conta de serviço que se aplicam às hr-app-service permissões em vez das permissões configuradas pelo jsmith. É necessário possibilitar que o aplicativo de folha de pagamento do RH acesse o banco de dados do SQL Server usando as credenciais de jsmith. Para fazer isso, você habilita a delegação restrita de Kerberos para a conta de hr-app-service serviço em seu diretório gerenciado AWS do Microsoft AD em. AWS Quando jsmith fizer logon, o Active Directory fornecerá um tíquete Kerberos que o Windows usará automaticamente quando jsmith tentar acessar outros serviços na rede. A delegação do Kerberos permite que a hr-app-service conta reutilize o tíquete jsmith Kerberos ao acessar o banco de dados, aplicando assim permissões específicas ao jsmith ao abrir a conexão do banco de dados.

Para conceder permissões que permitem aos usuários do AWS Managed Microsoft AD configurar uma delegação restrita de Kerberos, é necessário adicionar suas contas como um membro do grupo de segurança Administradores delegados de delegação Kerberos da AWS. Por padrão, a conta de administrador é um membro desse grupo. Para obter mais informações sobre a delegação restrita de Kerberos, consulte Visão geral da delegação restrita de Kerberos no site da Microsoft. TechNet

A delegação restrita baseada em recursos foi apresentada com o Windows Server 2012. Ela fornece ao administrador do serviço de back-end a capacidade de configurar a delegação restrita para o serviço.