本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AMS 托管活动目录 AMS 现在提供了一项名为 “托管活动目录”(又名托管 AD)的新服务,它允许 AMS 管理您的活动目录 (AD) 基础设施运营,同时让您控制活动目录的管理。 AMS 对托管 AD 的支持与 AMS 对亚马逊关系数据库服务 (Amazon RDS) 的支持类似。在这两种情况下, AWS (包括 AMS)都支持创建和管理运行服务的基础架构,同时您可以执行访问控制和所有管理功能。该模型具有以下优点: + 限制安全风险: AWS 而且 AMS 不需要您的域名的管理权限。 + 直接集成:您可以使用当前的授权模型并将其与 AD 集成,而无需与 AMS 接口。 **备注:** + AMS 和您都无法访问您的托管 AD 域控制器,因此无法在域控制器上安装任何软件。这一点很重要,因为不允许要求在域控制器上安装软件的第三方解决方案。 访问权限的工作原理是这样的: + AWS Directory Service 团队:有权访问域控制器。 + AMS:有权访问 Directory Service APIs 以对域名执行某些操作。这些操作包括拍摄 AD 快照、更改 AD 架构和其他操作。 + 您:可以访问域 (AD) 以创建用户、群组等。 + 我们建议您在迁移企业 AD 之前对托管 AD 进行概念验证,因为并非传统 AD 环境中的所有功能都可以在托管 AD 环境中使用。 + AMS 不会管理您的广告管理或提供有关您的广告管理的指导。例如,AMS 不会就组织单位结构、组策略结构、AD 用户命名约定等提供指导。 它的工作原理是这样的: 1. AMS AWS 账户 为您安装了一个新的,与您的 AMS 账户分开并添加到您的 AMS 账户之外,并通过 Directory Service 配置活动目录 (AD) 环境(另请参阅[什么是 AWS AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)? )。 以下是系统集成商需要从您那里收集的信息,以便让 AMS 加入托管 AD: + 账户信息 + 为您的 AMS 管理 AWS 账户 的广告创建的账户 ID:数字 AWS 账户 + 要将托管广告加载到的区域: AWS 区域 + 托管活动目录信息: + 微软 AD 版:标准版/企业版。AWS Microsoft AD(标准版)包括 1 GB 的目录对象存储空间。此容量最多可支持 5,000 个用户或 30,000 个目录对象,包括用户、群组和计算机。AWS Microsoft AD(企业版)包含 17 GB 的目录对象存储空间,最多可支持 100,000 个用户或 500,000 个对象。 有关更多信息,请参阅 [AWS Directory Service FAQs](https://aws.amazon.com/directoryservice/faqs/)。 + 域名 FQDN:您的 AMS 托管 AD 域名的 FQDN。 + 域 NetBIOS 名称:您的 AMS 托管 AD 域的 NetBIOS 名称。 + 您希望与托管 AD 集成的 AMS 标准账户的账号(AMS 配置从 AMS 标准账户的 AD 到托管 AD 的单向信任) + 是否需要修改活动目录架构?如果需要,需要进行哪些修改? + 默认情况下,会配置两个域控制器。你还需要更多吗? 如果是,你需要多少?出于什么原因? + 托管活动目录的联网信息: + 域控制器的托管 AD VPC CIDR(托管 AD 域控制器的私有子网范围内的 CIDR): + 域控制器的子网 CIDR 1:[您的 CIDR,必须是 AMS 托管 AD VPC CIDR 的一部分] + 域控制器的子网 CIDR 2:[您的 CIDR,必须是 AMS 托管 AD VPC CIDR 的一部分] 例如: + 托管 AD VPC CIDR:192.168.0.0/16 + 域控制器的 CIDR 1:192.168.1.0/24 + 适用于域控制器的 CIDR 2:192.168.2.0/24 为避免 IP 地址冲突,请确保您指定的托管 AD VPC CIDR 与您在公司网络中使用的任何其他私有子网 CIDR 不冲突。 + VPN 技术(可选):[Direc Connect/Direct t Connect 和 VPN] + 您的网关的 BGP 自治系统编号 (ASN):[客户提供的 ASN] + 网关外部接口的互联网可路由的 IP 地址,该地址必须是静态的:[客户提供的 IP 地址] + 您的 VPN 连接是否需要静态路由:[是/否] 1. AMS 为您提供 AD 环境的管理员账户密码,并要求您重置密码,这样 AMS 工程师就无法再访问您的 AD 环境了。 1. 要重置管理员帐户密码,请使用 Active Directory 用户和计算机 (ADUC) 连接到您的 Active Directory 环境。ADUC 和其他远程服务器管理工具 (RSAT) 应在您在非 AMS 基础架构上配置的管理主机上安装和运行。Microsoft 有保护此类管理主机的最佳实践。有关信息,请参阅[实现安全的管理主机](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/implementing-secure-administrative-hosts)。您可以使用这些管理主机来管理 Active Directory 环境。 1. 在日常操作中,AMS 会管理 AWS 账户 直到 AWS Directory Service 方面的事情;例如 VPC 配置、AD 备份、AD 信任的创建和删除等。您使用和管理您的 AD 环境;例如,用户创建、群组创建、群组策略创建等。 有关最新的 RACI 表,请参阅 “查看[服务说明](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html)” 中的 “角色和职责” 部分。