Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Concepts clés pour AWS Managed Microsoft AD

Vous tirerez le meilleur parti d'AWS Managed Microsoft AD en vous familiarisant avec les concepts clés suivants.

Schéma Active Directory

Un schéma est la définition des attributs et classes qui font partie d'un annuaire distribué et sont similaires aux champs et tables d'une base de données. Les schémas incluent un ensemble de règles qui déterminent le type et le format des données qui peuvent être ajoutées ou incluses dans la base de données. La classe Utilisateur est l'exemple d'une classe qui est stockée dans la base de données. Quelques exemples d'attributs de classe Utilisateur peuvent inclure le prénom, le nom, le numéro de téléphone de l'utilisateur, etc.

Éléments du schéma

Les attributs, les classes et les objets sont les éléments de base qui sont utilisés pour créer des définitions d'objets dans le schéma. Voici les détails sur les éléments du schéma que vous devez connaître avant d'entamer le processus d'extension de votre schéma AWS Managed Microsoft AD.

Rubriques en relation

Application de correctifs et maintenance pour AWS Managed Microsoft AD

Le AWS Directory Service for Microsoft Active Directory, également appelé AWS DS for AWS Managed Microsoft AD, correspond en fait aux services de domaine Active Directory (AD DS) Microsoft fournis en tant que service géré. Le système utilise Microsoft Windows Server 2019 pour les contrôleurs de domaine (DC), et AWS ajoute les logiciels aux contrôleurs de domaine à des fins de gestion du service. AWS met à jour (application de correctifs) les contrôleurs de domaine pour ajouter de nouvelles fonctionnalités et maintenir le logiciel Microsoft Windows Server à jour. Pendant le processus d'application des correctifs, votre annuaire reste disponible pour utilisation.

Garantie de la disponibilité

Par défaut, chaque annuaire se compose de deux contrôleurs de domaine, chacun d'entre eux étant installé dans une zone de disponibilité différente. À votre convenance, vous pouvez ajouter des contrôleurs de domaine pour augmenter encore la disponibilité. Pour les environnements critiques nécessitant une haute disponibilité et une tolérance aux pannes, nous recommandons de déployer des contrôleurs de domaine supplémentaires. AWSapplique des patchs à vos contrôleurs de domaine de manière séquentielle, période pendant laquelle le contrôleur de domaine qui applique activement les correctifs AWS n'est pas disponible. Si un ou plusieurs contrôleurs de domaine sont temporairement hors service, AWS diffère l'application des correctifs tant que votre annuaire ne dispose pas d'au moins deux contrôleurs de domaine opérationnels. Ceci vous permet d'utiliser les autres contrôleurs de domaine opérationnels pendant le processus d'application des correctifs, qui prend généralement de 30 à 45 minutes par contrôleur, même si cette durée peut varier. Pour garantir que vos applications puissent accéder à un contrôleur de domaine au cas où un ou plusieurs contrôleurs de domaine sont indisponibles pour une raison quelconque, notamment l'application des correctifs, vos applications doivent utiliser le localisateur de service de contrôleur de domaine Windows et ne pas utiliser des adresses de contrôleur de domaine statiques.

Présentation de la planification d'application des correctifs

Pour que le logiciel Microsoft Windows Server reste à jour sur vos contrôleurs de domaine, AWS utilise les mises à jour Microsoft. À mesure que Microsoft met à disposition des déploiements de correctifs mensuels pour Windows Server, AWS fait son possible pour tester et appliquer ces déploiements sur tous les contrôleurs de domaine des clients dans un délai de trois semaines calendaires. En outre, AWS vérifie les mises à jour que Microsoft publie en dehors du déploiement mensuel en fonction de leur applicabilité aux contrôleurs de domaine et de leur urgence. Pour les correctifs de sécurité que Microsoft évalue comme étant critiques ou importants, et qui sont pertinents pour les contrôleurs de domaine, AWS fait son possible pour tester et déployer ces correctifs dans un délai de cinq jours.

Comptes de service administrés de groupe

Avec Windows Server 2012, Microsoft a introduit une nouvelle méthode que les administrateurs peuvent utiliser pour gérer les comptes de service : les comptes de service administrés de groupe (appelés gMSA). Grâce aux comptes gMSA, les administrateurs de service n'ont plus à gérer manuellement la synchronisation des mots de passe entre les instances de service. Un administrateur peut simplement créer un gMSA dans Active Directory, puis configurer plusieurs instances de service pour utiliser ce compte gMSA spécifique.

Pour accorder les autorisations nécessaires pour que des utilisateurs dans AWS Managed Microsoft AD puissent créer un gMSA, vous devez ajouter leurs comptes en tant que membre du groupe de sécurité Administrateurs délégués de comptes de services gérés AWS. Par défaut, le compte administrateur est membre de ce groupe. Pour plus d'informations sur les GMSA, consultez la section Présentation des comptes de services gérés par le groupe sur le site Web de Microsoft. TechNet

Post du blog sur la sécurité AWS

Délégation Kerberos contrainte

La délégation Kerberos contrainte est une fonctionnalité de Windows Server. Cette fonctionnalité permet aux administrateurs de services de spécifier et d'appliquer des limites d'approbation d'applications en limitant l'étendue d'intervention des services applicatifs qui agissent au nom d'un utilisateur. Cela peut être utile lorsque vous avez besoin de spécifier les comptes de service frontaux qui sont autorisés à déléguer des tâches à leurs services dorsaux. La délégation Kerberos contrainte empêche également votre gMSA de se connecter à n'importe quel service pour le compte de vos utilisateurs Active Directory, ce qui évite le risque d'abus par un développeur malveillant.

Par exemple, supposons que l'utilisateur jdupont se connecte à une application RH. Vous voulez que votre instance SQL Server applique les autorisations de base de données de jdupont. Cependant, par défaut, SQL Server ouvre la connexion à la base de données en utilisant les informations d'identification du compte hr-app-service de service qui s'applique, au lieu des autorisations configurées par jsmith. Vous devez permettre à l'application de paie RH d'accéder à la base de données SQL Server à l'aide des informations d'identification de jdupont. Pour ce faire, vous activez la délégation contrainte Kerberos pour le compte de hr-app-service service dans votre répertoire Managed AWS Microsoft AD dans. AWS Lorsque jdupont se connecte, Active Directory émet un ticket Kerberos que Windows utilise automatiquement lorsque jdupont tente d'accéder à d'autres services sur le réseau. La délégation Kerberos permet au hr-app-service compte de réutiliser le ticket Kerberos jsmith lors de l'accès à la base de données, appliquant ainsi des autorisations spécifiques à jsmith lors de l'ouverture de la connexion à la base de données.

Pour accorder les autorisations nécessaires pour que des utilisateurs dans AWS Managed Microsoft AD puissent configurer une délégation Kerberos contrainte, vous devez ajouter leurs comptes en tant que membre du groupe de sécurité Administrateurs délégués de délégation Kerberos AWS. Par défaut, le compte administrateur est membre de ce groupe. Pour plus d'informations sur la délégation contrainte de Kerberos, consultez la section Présentation de la délégation contrainte de Kerberos sur le site Web de Microsoft. TechNet

La délégation contrainte basée sur les ressources a été introduite avec Windows Server 2012. Elle fournit à l'administrateur de service principal la possibilité de configurer la délégation contrainte pour le service.