AWS Conceitos-chave gerenciados do Microsoft AD - AWS Directory Service
Esquema do Active DirectoryPatches e manutençãoContas de serviço gerenciadas pelo grupoDelegação restrita de Kerberos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Conceitos-chave gerenciados do Microsoft AD

Você aproveitará melhor o AWS Managed Microsoft AD se se familiarizar com os seguintes conceitos-chave.

Esquema do Active Directory

Um esquema é a definição de atributos e classes que fazem parte de um diretório distribuído, e é semelhante a campos e tabelas em um banco de dados. Os esquemas incluem um conjunto de regras que determinam o tipo e o formato dos dados que podem ser adicionados ou incluídos no banco de dados. A classe User é um exemplo de uma classe que é armazenada no banco de dados. Alguns exemplos de atributos da classe User podem incluir o nome, o sobrenome, o número do telefone e outras informações do usuário.

Elementos do esquema

Atributos, classes e objetos são os elementos básicos usados para compilar definições de objeto no esquema. A seguir, são apresentados detalhes sobre os elementos do esquema que é importante conhecer antes de iniciar o processo de extensão do esquema AWS Managed Microsoft AD.

Atributos

Cada atributo do esquema, que é semelhante a um campo em um banco de dados, tem várias propriedades que definem as características do atributo. Por exemplo, a propriedade usada por clientes LDAP para ler e gravar o atributo é LDAPDisplayName. A propriedade LDAPDisplayName deve ser exclusiva em todos os atributos e classes. Para obter uma lista completa de características de atributo, consulte Características de atributos no site MSDN. Para obter mais orientações sobre como criar um novo atributo, consulte Definindo um novo atributo no site MSDN.

Classes

As classes são análogas às tabelas em um banco de dados e também têm várias propriedades a serem definidas. Por exemplo, objectClassCategory define a categoria de classe. Para obter uma lista completa de características de classe, consulte Características de classes de objeto no site MSDN. Para obter mais informações sobre como criar uma classe nova, consulte Definindo uma nova classe no site MSDN.

Identificador de objeto (OID)

Cada classe e atributo deve ter um OID que seja exclusivo para todos os seus objetos. Os fornecedores de software devem ter seu próprio OID para garantir a unicidade. A unicidade evita conflitos quando o mesmo atributo é usado por mais de um aplicativo para propósitos diferentes. Para garantir a unicidade, você pode obter o OID raiz de uma Autoridade de registro de nome ISO. Como alternativa, você pode obter um OID base da Microsoft. Para obter mais informações OIDs e como obtê-los, consulte Identificadores de objeto no site da MSDN.

Atributos vinculados a esquema

Alguns atributos estão vinculados entre duas classes com links sequenciais e regressivos. O melhor exemplo são os grupos. Quando olha para um grupo, você vê os membros do grupo; se olha para um usuário, você vê a que grupos o usuário pertence. Quando você adiciona um usuário a um grupo, o Active Directory cria um link sequencial com o grupo. Então o Active Directory adiciona um link regressivo do grupo até o usuário. Um ID de link exclusivo deve ser gerado ao criar-se um atributo que será vinculado. Para obter mais informações, consulte Atributos vinculados no site MSDN.

Patches e manutenção do AWS Managed Microsoft AD

AWS O Directory Service for Microsoft Active Directory, também conhecido como AWS DS for AWS Managed Microsoft AD, é na verdade o Microsoft Active Directory Domain Services (AD DS), fornecido como um serviço gerenciado. O sistema usa o Microsoft Windows Server 2019 para os controladores de domínio (DCs) e AWS adiciona software ao DCs para fins de gerenciamento de serviços. AWS atualizações (patches) DCs para adicionar novas funcionalidades e manter o software Microsoft Windows Server atualizado. Durante o processo de aplicação de patches, seu diretório permanece disponível para uso.

Garantia da disponibilidade

Por padrão, cada diretório consiste em dois DCs, cada um instalado em uma zona de disponibilidade diferente. A seu critério, você pode adicionar DCs para aumentar ainda mais a disponibilidade. Para ambientes críticos que precisam de alta disponibilidade e tolerância a falhas, recomendamos a implantação de outros. DCs AWS corrige você DCs sequencialmente, período durante o qual o DC que AWS está ativamente aplicando o patch fica indisponível. Caso um ou mais dos seus DCs estejam temporariamente fora de serviço, AWS adia a aplicação de patches até que seu diretório tenha pelo menos dois operacionais. DCs Isso permite que você use a outra operação DCs durante o processo de patch, que normalmente leva de 30 a 45 minutos por DC, embora esse tempo possa variar. Para garantir que seus aplicativos possam alcançar um DC operacional caso um ou mais DCs estejam indisponíveis por qualquer motivo, incluindo patches, seus aplicativos devem usar o serviço localizador de DC do Windows e não usar endereços DC estáticos.

Noções básicas sobre o cronograma de aplicação de patches

Para manter o software Microsoft Windows Server atualizado DCs, AWS utilize as atualizações da Microsoft. Como a Microsoft disponibiliza patches cumulativos mensais para o Windows Server, AWS faz o possível para testar e aplicar o pacote cumulativo a todos os clientes DCs dentro de três semanas corridas. Além disso, AWS analisa as atualizações que a Microsoft lança fora do pacote cumulativo mensal com base na aplicabilidade e na urgência. DCs Para patches de segurança que a Microsoft classifica como críticos ou importantes e que são relevantes DCs, AWS faz todos os esforços para testar e implantar o patch em cinco dias.

Contas de serviço gerenciadas pelo grupo

Com o Windows Server 2012, a Microsoft introduziu um novo método que os administradores poderiam usar para gerenciar contas de serviço chamado Contas de Serviços Gerenciados (gMSAs) de grupo. Usando gMSAs, os administradores de serviços não precisavam mais gerenciar manualmente a sincronização de senhas entre instâncias de serviço. Em vez disso, um administrador poderia simplesmente criar um gMSA no Active Directory e configurar várias instâncias de serviço para usar aquele mesmo gMSA.

Para conceder permissões para que os usuários do AWS Managed Microsoft AD possam criar um gMSA, você deve adicionar suas contas como membro do grupo de segurança Administradores de Contas de AWS Serviços Gerenciados Delegados. Por padrão, a conta de administrador é um membro desse grupo. Para obter mais informações sobre gMSAs, consulte Visão geral das contas de serviço gerenciadas em grupo no TechNet site da Microsoft.

Postagem no blog AWS de segurança relacionada

Delegação restrita de Kerberos

A delegação restrita de Kerberos é um recurso do Windows Server. Esse recursos oferece aos administradores de sistema a capacidade de especificar e impor limites de confiança de aplicativo reduzindo o escopo em que os serviços de aplicativo podem atuar em nome de um usuário. Isso pode ser útil quando você precisa configurar quais contas de serviço de front-end podem delegar aos serviços de backend. A delegação restrita de Kerberos também impede que o gMSA se conecte a todo e qualquer serviço em nome dos seus usuários do Active Directory, o que impede um possível abuso por parte de um desenvolvedor mal-intencionado (invasor).

Por exemplo, digamos que o usuário jsmith faça login em um aplicativo de HR. Você deseja que o SQL Server aplique as permissões de banco de dados de jsmith. No entanto, por padrão, o SQL Server abre a conexão do banco de dados usando as credenciais da conta de serviço que se aplicam às hr-app-service permissões em vez das permissões configuradas pelo jsmith. É necessário possibilitar que o aplicativo de folha de pagamento do RH acesse o banco de dados do SQL Server usando as credenciais de jsmith. Para fazer isso, você habilita a delegação restrita de Kerberos para a conta de hr-app-service serviço em seu diretório gerenciado AWS do Microsoft AD em. AWS Quando jsmith fizer logon, o Active Directory fornecerá um tíquete Kerberos que o Windows usará automaticamente quando jsmith tentar acessar outros serviços na rede. A delegação do Kerberos permite que a hr-app-service conta reutilize o tíquete jsmith Kerberos ao acessar o banco de dados, aplicando assim permissões específicas ao jsmith ao abrir a conexão do banco de dados.

Para conceder permissões que permitam aos usuários do AWS Managed Microsoft AD configurar a delegação restrita do Kerberos, você deve adicionar suas contas como membro do grupo de segurança Administradores da Delegação AWS Delegada do Kerberos. Por padrão, a conta de administrador é um membro desse grupo. Para obter mais informações sobre a delegação restrita de Kerberos, consulte Visão geral da delegação restrita de Kerberos no site da Microsoft. TechNet

A delegação restrita baseada em recursos foi apresentada com o Windows Server 2012. Ela fornece ao administrador do serviço de back-end a capacidade de configurar a delegação restrita para o serviço.