本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Managed Microsoft AD 金鑰概念
如果您熟悉下列關鍵概念,將能從 AWS Managed Microsoft AD 中獲益更多。
Active Directory 結構描述
結構描述是屬於分散式目錄之屬性和類別的定義,類似資料庫中的欄位及表格。結構描述包含一組規則,它們決定資料庫可以新增或包含的資料類型和格式。使用者類別是存放在資料庫中的 類別範例之一。有些使用者類別屬性範例可以包含使用者的名字、姓氏、電話號碼等等。
結構描述元素
屬性、類別和物件是用來建立結構描述中物件定義的基本元素。以下提供在您開始擴展 AWS Managed Microsoft AD 結構描述的程序之前,必須了解的結構描述元素詳細資訊。
- Attributes
-
每個結構描述屬性 (attribute) 類似於資料庫中的欄位,其中包含用來定義屬性 (attribute) 特性的幾個屬性 (property)。例如,LDAP用戶端用來讀取和寫入屬性的 屬性是
LDAPDisplayName。LDAPDisplayName屬性 (property) 在所有屬性 (attribute) 和類別中必須是唯一的。如需屬性特性的完整清單,請參閱 MSDN 網站上的屬性特性。如需如何建立新屬性的其他指引,請參閱 MSDN網站上的定義新屬性 。 - 類別
-
類別類似於資料庫中的資料表,也有幾個需要定義的屬性。例如,
objectClassCategory會定義類別分類。如需類別特性的完整清單,請參閱 MSDN 網站上的物件類別特性。如需如何建立新類別的詳細資訊,請參閱在 MSDN網站上定義新類別 。 - 物件識別碼 (OID)
-
每個類別和屬性都必須具有對所有物件OID而言唯一的 。軟體供應商必須取得自己的 OID,才能確保唯一性。唯一性可避免當多個應用程式針對不同用途使用相同屬性時發生的衝突。若要確保唯一性,您可以從OIDISO名稱註冊機構取得根。或者,您可以從 Microsoft OID 取得基礎。如需有關 OIDs以及如何取得它們的詳細資訊,請參閱 MSDN 網站上的物件識別符
。 - 結構描述連結屬性
某些屬性會透過正向與反向連結在兩個類別之間連結。群組是最佳範例。當您檢視群組時,您會看到群組的成員;如果您檢視使用者,您會看到其所屬的群組。當您將使用者新增至群組時,Active Directory 會建立群組的正向連結。然後,Active Directory 會新增從群組到使用者的反向連結。建立要連結的屬性時必須產生唯一的連結 ID。如需詳細資訊,請參閱 MSDN 網站上的連結屬性
。
相關主題
AWS Managed Microsoft AD 修補和維護
AWS Directory Service for Microsoft Active Directory,也稱為 AWS DS for AWS Managed Microsoft AD,實際上是 Microsoft Active Directory Domain Services (AD DS),以受管服務的形式交付。系統會將 Microsoft Windows Server 2019 用於網域控制站 (DCs),並將軟體 AWS 新增至 DCs 以用於服務管理。 AWS 更新 (修補程式) DCs 以新增新功能,並保持 Microsoft Windows Server 軟體為最新版本。在修補過程中,您的目錄仍然可供使用。
確保可用性
根據預設,每個目錄包含兩個 DCs,每個 都安裝在不同的可用區域中。您可以自行選擇新增 DCs,以進一步提高可用性。對於需要高可用性和容錯能力的關鍵環境,建議您DCs依序部署額外的 DCs. AWS patches,在此期間,主動修補 AWS 的 DC 無法使用。如果一個或多個 DCs暫時停止服務, AWS 則防禦修補,直到目錄至少有兩個操作中的 DCs。這可讓您在修補程序DCs期間使用另一個操作,這通常每個 DC 需要 30 到 45 分鐘,儘管這段時間可能有所不同。為了確保您的應用程式可以到達運作中的 DC,以防一個或多個應用程式因任何理由DCs而無法使用,包括修補,您的應用程式應該使用 Windows DC 定位器服務,而不是使用靜態 DC 地址。
了解修補排程
若要讓 上的 Microsoft Windows Server 軟體保持最新狀態DCs, AWS 會使用 Microsoft 更新。隨著 Microsoft 為 Windows Server 提供每月彙總修補程式, AWS 會盡最大努力在三個日曆週DCs內測試並將彙總套用至所有客戶。此外,根據對 的適用性DCs和緊急性, AWS 檢閱 Microsoft 在每月彙總之外發行的更新。對於 Microsoft 評定為重大或重要 且與 相關的安全修補程式DCs, AWS 會盡一切努力在五天內測試和部署修補程式。
群組受管服務帳戶
使用 Windows Server 2012,Microsoft 推出了一種新方法,管理員可以用來管理稱為 群組受管服務帳戶 () 的服務帳戶gMSAs。使用 gMSAs,服務管理員不再需要手動管理服務執行個體之間的密碼同步。相反地,管理員可以在 Active Directory 中建立 gMSA,然後將多個服務執行個體設定為使用該單一 g MSA。
若要授予許可,以便 AWS Managed Microsoft AD 中的使用者可以建立 gMSA,您必須將其帳戶新增為AWS 委派 Managed Service Account Administrators 安全群組的成員。根據預設,管理帳戶是此群組的成員。如需 的詳細資訊gMSAs,請參閱 Microsoft TechNet 網站上的群組受管服務帳戶概觀
相關 AWS 安全部落格文章
Kerberos 限制委派
Kerberos 限制委派是 Windows Server 功能。這項功能可讓服務管理員透過限制範圍來指定及強制執行應用程式信任邊界,其中應用程式服務可代表使用者執行動作。當您需要設定哪個前端服務帳戶可委派給其後端服務時,這可能會很有用。Kerberos 受限制的委派也會防止您的 gMSA 代表您 Active Directory 使用者連線到任何和所有服務,避免惡意開發人員濫用的可能性。
例如,假設使用者 jsmith 登入人力資源應用程式。您希望SQL伺服器套用 jsmith 的資料庫許可。不過,根據預設,SQL伺服器會使用套用 hr-app-service許可的服務帳戶憑證開啟資料庫連線,而不是使用 jsmith 設定的許可。您必須讓 HR 薪資應用程式能夠使用 jsmith 的憑證存取SQL伺服器資料庫。若要這麼做,請在 中的 AWS Managed Microsoft AD 目錄中啟用 hr-app-service服務帳戶的 Kerberos 限制委派 AWS。當 jsmith 登入時,Active Directory 會提供 Kerberos 票證,當 jsmith 嘗試存取網路中的其他服務時,Windows 會自動使用此票證。Kerberos 委派可讓 hr-app-service帳戶在存取資料庫時重複使用 jsmith Kerberos 票證,因此在開啟資料庫連線時套用 jsmith 特有的許可。
若要授予許可,允許 AWS Managed Microsoft AD 中的使用者設定 Kerberos 限制委派,您必須將其帳戶新增為AWS 委派 Kerberos 委派管理員安全群組的成員。根據預設,管理帳戶是此群組的成員。如需 Kerberos 限制委派的詳細資訊,請參閱 Microsoft TechNet 網站上的 Kerberos 限制委派概觀
資源型限制委派
