AWS Schlüsselkonzepte für verwaltetes Microsoft AD - AWS Directory Service
Active-Directory-SchemaPatchen und WartungGruppenverwaltete Service-KontenEingeschränkte Kerberos-Delegierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Schlüsselkonzepte für verwaltetes Microsoft AD

Sie werden mehr aus AWS Managed Microsoft AD herausholen, wenn Sie sich mit den folgenden Schlüsselkonzepten vertraut machen.

Active-Directory-Schema

Ein Schema ist die Definition von Attributen und Klassen, die Teil eines verteilten Verzeichnisses sind, ähnlich wie Felder und Tabellen in einer Datenbank. Schemas umfassen eine Reihe von Regeln, die die Art und das Format der Daten bestimmen, die hinzugefügt oder in der Datenbank gespeichert werden. Die Benutzerklasse ist ein Beispiel für eine Klasse, die in der Datenbank gespeichert ist. Beispielsweise können Benutzerklasse-Attribute Vorname, Nachname, Telefonnummer und so weiter sein.

Schemaelemente

Attribute, Klassen und Objekte sind die grundlegenden Elemente zum Erstellen von Objektdefinitionen im Schema. Im Folgenden finden Sie Einzelheiten zu Schemaelementen, die Sie unbedingt kennen sollten, bevor Sie mit der Erweiterung Ihres AWS verwalteten Microsoft AD-Schemas beginnen.

Attribute

Schemaattribute können mit den Feldern in einer Datenbank verglichen werden. Jedes Schemaattribut hat mehrere Eigenschaften, die die Merkmale des Attributs definieren. Die Eigenschaft, die von LDAP Clients zum Lesen und Schreiben des Attributs verwendet wird, lautet beispielsweiseLDAPDisplayName. Die Eigenschaft LDAPDisplayName muss für alle Attribute und Klassen eindeutig sein. Eine vollständige Liste der Attributmerkmale finden Sie auf der MSDN Website unter Eigenschaften von Attributen. Weitere Anleitungen zum Erstellen eines neuen Attributs finden Sie unter Definieren eines neuen Attributs auf der MSDN Website.

Klassen

Klassen sind vergleichbar mit Tabellen in einer Datenbank und haben ebenfalls verschiedene definierbare Eigenschaften. objectClassCategory definiert zum Beispiel die Kategorie der Klasse. Eine vollständige Liste der Klassenmerkmale finden Sie auf der MSDN Website unter Merkmale von Objektklassen. Weitere Informationen zum Erstellen einer neuen Klasse finden Sie auf der MSDN Website unter Definieren einer neuen Klasse.

Objekt-ID (OID)

Jede Klasse und jedes Attribut muss eine habenOID, die für alle Ihre Objekte eindeutig ist. Softwareanbieter müssen sich ihre eigenen besorgenOID, um die Einzigartigkeit zu gewährleisten. Die Eindeutigkeit verhindert Konflikte, wenn dasselbe Attribut von mehreren Anwendungen für unterschiedliche Zwecke genutzt wird. Um die Eindeutigkeit zu gewährleisten, können Sie sich bei einer ISO Namensregistrierungsstelle ein Stammverzeichnis OID besorgen. Alternativ können Sie eine Basis OID von Microsoft beziehen. Weitere Informationen zu Objektkennungen OIDs und deren Beschaffung finden Sie auf der MSDN Website unter Objektkennungen.

Mit einem Schema verknüpfte Attribute

Einige Attribute sind über Forward- und Back-Links zwischen zwei Klassen verknüpft. Das beste Beispiel hierfür sind Gruppen. Wenn Sie eine Gruppe aufrufen, sehen Sie die zugehörigen Mitglieder. Wenn Sie einen Benutzer aufrufen, sehen Sie, zu welchen Gruppen er gehört. Wenn Sie einer Gruppe einen Benutzer hinzufügen, erstellt Active Directory einen Forward-Link zur Gruppe. Zudem fügt Active Directory einen Back-Link von der Gruppe zum Benutzer hinzu. Beim Erstellen eines Attributs, das verknüpft werden soll, muss eine eindeutige Link-ID generiert werden. Weitere Informationen finden Sie unter Verknüpfte Attribute auf der MSDN Website.

Patchen und Wartung für AWS Managed Microsoft AD

AWS Der Directory Service für Microsoft Active Directory, auch bekannt als AWS DS für AWS Managed Microsoft AD, ist eigentlich Microsoft Active Directory Domain Services (AD DS), der als verwalteter Dienst bereitgestellt wird. Das System verwendet Microsoft Windows Server 2019 für die Domänencontroller (DCs) und AWS fügt Software DCs für Dienstverwaltungszwecke hinzu. AWS Updates (Patches)DCs, um neue Funktionen hinzuzufügen und die Microsoft Windows Server-Software auf dem neuesten Stand zu halten. Während des Patchings kann Ihr Verzeichnis weiterhin genutzt werden.

Sicherstellen der Verfügbarkeit

Standardmäßig besteht jedes Verzeichnis aus zwei VerzeichnissenDCs, die jeweils in einer anderen Availability Zone installiert sind. Nach Ihrer Wahl können Sie weitere hinzufügen, DCs um die Verfügbarkeit weiter zu erhöhen. Für kritische Umgebungen, in denen hohe Verfügbarkeit und Fehlertoleranz erforderlich sind, empfehlen wir die Bereitstellung zusätzlicher Komponenten. DCs AWS patcht Sie DCs sequentiell. Während dieser Zeit AWS ist der DC, der aktiv patcht, nicht verfügbar. Für den Fall, dass einer oder mehrere Ihrer Server vorübergehend DCs außer Betrieb sind, verschiebt das AWS Patchen, bis mindestens zwei Verzeichnisse betriebsbereit sind. DCs Auf diese Weise können Sie den anderen Betrieb DCs während des Patch-Vorgangs verwenden, der in der Regel 30 bis 45 Minuten pro DC dauert, obwohl diese Zeit variieren kann. Um sicherzustellen, dass Ihre Anwendungen ein operierendes DC erreichen können, falls eines oder mehrere DCs aus irgendeinem Grund nicht verfügbar sind, einschließlich Patches, sollten Ihre Anwendungen den Windows DC Locator Service und keine statischen DC-Adressen verwenden.

Verstehen des Patch-Zeitplans

Um die Microsoft Windows Server-Software auf Ihrem aktuellen Stand zu haltenDCs, AWS verwendet Microsoft-Updates. Da Microsoft monatliche Rollup-Patches für Windows Server zur Verfügung AWS stellt, bemüht man sich, den Rollup DCs innerhalb von drei Kalenderwochen zu testen und für alle Kunden anzuwenden. Überprüft außerdem Updates, AWS die Microsoft außerhalb des monatlichen Rollups veröffentlicht, auf der Grundlage ihrer Anwendbarkeit und Dringlichkeit. DCs Bei Sicherheitspatches, die Microsoft als kritisch oder wichtig einstuft und für die sie relevant sindDCs, AWS bemüht man sich, den Patch innerhalb von fünf Tagen zu testen und bereitzustellen.

Gruppenverwaltete Service-Konten

Mit Windows Server 2012 hat Microsoft eine neue Methode eingeführt, mit der Administratoren Dienstkonten verwalten können, die als Gruppe verwaltete Dienstkonten (gMSAs) bezeichnet wird. Damit gMSAs mussten Dienstadministratoren die Kennwortsynchronisierung zwischen Dienstinstanzen nicht mehr manuell verwalten. Stattdessen könnte ein Administrator einfach ein G MSA in Active Directory erstellen und dann mehrere Dienstinstanzen so konfigurieren, dass sie dieses einzelne G verwendenMSA.

Um Benutzern in AWS Managed Microsoft AD Berechtigungen zu gewähren, damit sie ein G erstellen könnenMSA, müssen Sie ihre Konten als Mitglied der Sicherheitsgruppe AWS Delegated Managed Service Account Administrators hinzufügen. Standardmäßig ist das Admin-Konto ein Mitglied dieser Gruppe. Weitere Informationen zu gMSAs finden Sie unter Group Managed Service Accounts Overview auf der TechNet Microsoft-Website.

Verwandter Blogbeitrag zum Thema AWS Sicherheit

Eingeschränkte Kerberos-Delegierung

Die eingeschränkte Kerberos-Delegierung ist ein Feature in Windows Server. Mit diesem Feature erhalten Service-Administratoren die Möglichkeit, Vertrauensgrenzen für Anwendungen anzugeben und zu erzwingen, indem der Umfang begrenzt wird, in dem die Anwendungsservices für einen Benutzer agieren können. Dies kann nützlich sein, wenn Sie konfigurieren müssen, welche Front-End-Service-Konten etwas an ihre Back-End-Services delegieren können. Die eingeschränkte Kerberos-Delegierung verhindert außerdem, dass Ihr G MSA im Namen Ihrer Active Directory-Benutzer eine Verbindung zu allen Diensten herstellt, wodurch das Risiko eines Missbrauchs durch böswillige Entwickler vermieden wird.

Angenommen, Benutzer jsmith meldet sich bei einer HR-Anwendung an. Sie möchten, dass der SQL Server die Datenbankberechtigungen von jsmith anwendet. Standardmäßig öffnet der SQL Server die Datenbankverbindung jedoch mit den Anmeldeinformationen des Dienstkontos, die den entsprechenden Berechtigungen entsprechen, hr-app-service und nicht mit den konfigurierten Berechtigungen von jsmith. Sie müssen es der Personalabrechnungsanwendung ermöglichen, mit den Anmeldeinformationen von jsmith auf die SQL Serverdatenbank zuzugreifen. Dazu aktivieren Sie die eingeschränkte Kerberos-Delegierung für das hr-app-service Dienstkonto in Ihrem AWS verwalteten Microsoft AD-Verzeichnis in. AWS Wenn sich jsmith anmeldet, stellt Active Directory ein Kerberos-Ticket aus, das Windows automatisch verwendet, wenn jsmith versucht, auf andere Dienste im Netzwerk zuzugreifen. Die Kerberos-Delegierung ermöglicht es dem hr-app-service Konto, das Kerberos-Ticket von jsmith beim Zugriff auf die Datenbank wiederzuverwenden, wodurch beim Öffnen der Datenbankverbindung spezifische Berechtigungen für jsmith zugewiesen werden.

Um Benutzern in AWS Managed Microsoft AD Berechtigungen zu gewähren, die es Benutzern ermöglichen, die eingeschränkte Kerberos-Delegierung zu konfigurieren, müssen Sie ihre Konten als Mitglied der Sicherheitsgruppe AWS Delegated Kerberos Delegation Administrators hinzufügen. Standardmäßig ist das Admin-Konto ein Mitglied dieser Gruppe. Weitere Informationen zur eingeschränkten Kerberos-Delegierung finden Sie unter Übersicht über die eingeschränkte Kerberos-Delegierung auf der Microsoft-Website. TechNet

Die ressourcenbasierte eingeschränkte Delegierung wurde mit Windows Server 2012 eingeführt. Sie bietet dem Back-End-Service-Administrator die Möglichkeit, die eingeschränkte Delegierung für den Service zu konfigurieren.