本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Managed Microsoft AD 重要概念
如果您熟悉以下重要概念,將更能充分利用 AWS Managed Microsoft AD。
Active Directory 結構描述
結構描述是屬於分散式目錄之屬性和類別的定義,類似資料庫中的欄位及表格。結構描述包含一組規則,它們決定資料庫可以新增或包含的資料類型和格式。使用者類別是存放在資料庫中的 類別範例之一。有些使用者類別屬性範例可以包含使用者的名字、姓氏、電話號碼等等。
結構描述元素
屬性、類別和物件是用來建立結構描述中物件定義的基本元素。以下提供結構描述元素的詳細資訊,您必須了解這些元素,再開始擴展 AWS Managed Microsoft AD 結構描述的程序。
- 屬性
-
每個結構描述屬性 (attribute) 類似於資料庫中的欄位,其中包含用來定義屬性 (attribute) 特性的幾個屬性 (property)。例如,LDAP 用戶端用來讀取及寫入屬性 (attribute) 的屬性 (property) 為
LDAPDisplayName。LDAPDisplayName屬性 (property) 在所有屬性 (attribute) 和類別中必須是唯一的。如需屬性特性的完整清單,請參閱 MSDN 網站上的 Characteristics of Attributes。如需如何建立新屬性的其他指引,請參閱 MSDN 網站上的 Defining a New Attribute 。 - 類別
-
類別類似於資料庫中的資料表,也有幾個需要定義的屬性。例如,
objectClassCategory會定義類別分類。如需類別特性的完整清單,請參閱 MSDN 網站上的 Characteristics of Object Classes。如需如何建立新類別的詳細資訊,請參閱 MSDN 網站上的 Defining a New Class 。 - 物件識別符 (OID)
-
每個類別和屬性都必須具有對您所有物件唯一的 OID。軟體廠商必須取得其自己的 OID,以確保唯一性。唯一性可避免當多個應用程式針對不同用途使用相同屬性時發生的衝突。若要確保唯一性,您可以從 ISO 名稱登錄授權機構取得根 OID。或者,您可以從 Microsoft 取得基底 OID。如需 OID 及如何取得 OID 的詳細資訊,請參閱 MSDN 網站上的 Object Identifiers
。 - 結構描述連結屬性
某些屬性會透過正向與反向連結在兩個類別之間連結。群組是最佳範例。當您檢視群組時,您會看到群組的成員;如果您檢視使用者,您會看到其所屬的群組。當您將使用者新增至群組時,Active Directory 會建立群組的正向連結。然後,Active Directory 會新增從群組到使用者的反向連結。建立要連結的屬性時必須產生唯一的連結 ID。如需詳細資訊,請參閱 MSDN 網站上的 Linked Attributes
。
相關主題
AWS Managed Microsoft AD 修補和維護
AWS Directory Service for Microsoft Active Directory (也稱為適用於 AWS Managed Microsoft AD 的 AWS DS) 實際上是以受管服務形式交付的 Microsoft Active Directory Domain Services (AD DS)。該系統會針對域控制站 (DC) 使用 Microsoft Windows Server 2019,而且 AWS 會將用於管理服務的軟體新增至 DC。AWS 會更新 (修補) DC 以新增功能,並確保 Microsoft Windows Server 軟體為最新版本。在修補過程中,您的目錄仍然可供使用。
確保可用性
每個目錄預設會包含兩個 DC,分別安裝在不同的可用區域。您可以選擇新增 DC 以進一步提高可用性。對於需要高可用性和容錯能力的關鍵環境,我們建議部署額外的 DC。 AWS依序修補 DC,在此AWS期間,無法使用主動修補的 DC。如果一或多個 DC 暫時停止服務,AWS 會延遲修補,直到目錄中至少有兩個可運作的 DC。這可讓您在修補過程中使用其他作業 DC,修補每個 DC 通常需要 30 到 45 分鐘,但此時間可能會有所不同。為了確保您的應用程式可以在一或多個 DC 基於任何原因 (包括修補) 而無法使用時連線到作業 DC,您的應用程式應該使用 Windows DC 定位器服務且不使用靜態 DC 地址。
了解修補排程
為了確保您 DC 上的 Microsoft Windows Server 軟體為最新版本,AWS 會利用 Microsoft Update。當 Microsoft 每月提供 Windows Server 的彙總套件修補程式時,AWS 會盡可能在三個行事曆週內測試彙總套件並套用至所有客戶的 DC。此外,根據 DC 的適用性與急迫性,AWS 會檢閱 Microsoft 在每月彙總套件以外發行的更新。對於 Microsoft 評定為關鍵或重要以及與 DC 相關的安全性修補程式,AWS 會盡可能在五天內測試及部署修補程式。
群組受管服務帳戶
在 Windows Server 2012 中,Microsoft 引進了一個新方法,可供管理員用來管理稱為群組受管服務帳戶 (gMSA) 的服務帳戶。使用 gMSA,服務管理員不再需要手動管理服務執行個體之間的密碼同步。反之,管理員只要在 Active Directory 中建立一個 gMSA,然後設定多個服務執行個體使用該單一 gMSA 即可。
若要授予許可,讓 AWS Managed Microsoft AD 中的使用者可以建立 gMSA,您必須新增其帳戶做為 AWS 委派受管服務帳戶管理員安全群組的成員。根據預設,管理帳戶是此群組的成員。如需 GMSA 的詳細資訊,請參閱 Microsoft TechNet 網站上的群組受管理服務帳戶概觀
相關的 AWS 安全部落格文章
Kerberos 限制委派
Kerberos 限制委派是 Windows Server 功能。這項功能可讓服務管理員透過限制範圍來指定及強制執行應用程式信任邊界,其中應用程式服務可代表使用者執行動作。當您需要設定哪個前端服務帳戶可委派給其後端服務時,這可能會很有用。Kerberos 限制委派也可防止您的 gMSA 代表您的 Active Directory 使用者連線到任何及所有服務,並避免可能遭到惡意開發人員濫用。
例如,假設使用者 jsmith 登入人力資源應用程式。您希望 SQL Server 套用 jsmith 的資料庫許可。不過,根據預設,SQL Server 會使用套用權限的服務帳戶認證來開啟資料庫連線,而不 hr-app-service是 jsmith 的設定權限。您必須允許人力資源薪資應用程式使用 jsmith 的登入資料來存取 SQL Server 資料庫。若要這麼做,您可以在中為受AWS管理的 Microsoft AD 目錄上的 hr-app-service 服務帳戶啟用 Kerberos 限制委派。AWS當 jsmith 登入時,Active Directory 會提供 Kerberos 票證,當 jsmith 嘗試存取網路中的其他服務時,Windows 會自動使用此票證。Kerberos 委派可讓 hr-app-service 帳戶在存取資料庫時重複使用 jsmith Kerberos 票證,因此在開啟資料庫連線時套用 jsmith 特定的權限。
若要授予許可,讓 AWS Managed Microsoft AD 中的使用者可以設定 Kerberos 限制委派,您必須新增其帳戶做為 AWS 委派 Kerberos 委派管理員安全群組的成員。根據預設,管理帳戶是此群組的成員。如需有關 Kerberos 限制委派的詳細資訊,請參閱 Microsoft 網站上的 Kerberos 限制委派概觀
資源型限制委派
