本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AMS 受管 Active Directory AMS 現在提供稱為 Managed Active Directory (又稱為 Managed AD) 的新服務,可讓 AMS 處理 Active Directory (AD) 基礎設施操作,同時讓您控制 Active Directory 管理。 Managed AD 的 AMS 支援類似於 Amazon Relational Database Service (Amazon RDS) 的 AMS 支援。在這兩種情況下, AWS (包括 AMS) 都支援建立和管理執行服務的基礎設施,同時執行存取控制和所有管理功能。此模型具有下列優點: + 限制安全風險: AWS 且 AMS 不需要網域的管理權限。 + 直接整合:您可以使用目前的授權模型並與 AD 整合,而不需要與 AMS 連接。 **備註**: + AMS 和您都無法存取 Managed AD 網域控制站,因此網域控制站上無法安裝任何軟體。這很重要,因為不允許在網域控制站上安裝軟體的第三方解決方案。 存取的運作方式如下: + AWS Directory Service 團隊:可存取網域控制站。 + AMS:可存取 Directory Service APIs以在網域上執行特定動作。這些動作包括拍攝 AD 快照、變更 AD 結構描述和其他動作。 + 您:可存取網域 (AD) 以建立使用者、群組等。 + 我們建議您在遷移公司 AD 之前先在 Managed AD 上執行概念驗證,因為並非所有來自傳統 AD 環境的功能都可在 Managed AD 環境中使用。 + AMS 不會管理 AD 管理或提供有關 AD 管理的指導。例如,AMS 不會提供有關組織單位結構、群組政策結構、AD 使用者命名慣例等的指導。 它的運作方式如下: 1. 除了您的 AMS 帳戶之外,AMS 還會 AWS 帳戶 為您加入新的 ,並透過 AWS Directory Service 佈建 Active Directory (AD) 環境 (另請參閱[什麼是 AWS Directory Service?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html))。 以下是系統整合商需要從您收集的資訊,以便 AMS 加入 Managed AD: + 帳戶資訊 + 為 AMS 受管 AD: AWS 帳戶 number AWS 帳戶 建立之 的帳戶 ID + 要加入 Managed AD 的區域: AWS 區域 + 受管 Active Directory 資訊: + Microsoft AD Edition:Standard/Enterprise。AWS Microsoft AD (Standard Edition) 包含 1 GB 的目錄物件儲存。此容量最多可支援 5,000 個使用者或 30,000 個目錄物件,包括使用者、群組和電腦。AWS Microsoft AD (Enterprise Edition) 包含 17 GB 的目錄物件儲存體,最多可支援 100,000 個使用者或 500,000 個物件。 如需詳細資訊,請參閱 [AWS Directory Service FAQs](https://aws.amazon.com/directoryservice/faqs/)。 + 網域 FQDN:AMS Managed AD 網域的 FQDN。 + 網域 NetBIOS 名稱:AMS Managed AD 網域的 NetBIOS 名稱。 + 您想要 Managed AD 整合的 AMS 標準帳戶帳號 (AMS 會設定從 AMS 標準帳戶的 AD 到 Managed AD 的單向信任) + 是否需要修改 Active Directory 結構描述,如果需要,要修改什麼? + 根據預設,會佈建兩個網域控制站。您需要更多嗎? 如果是這樣,您需要多少?原因是什麼? + 受管 Active Directory 資訊的聯網: + 網域控制站的 Managed AD VPC CIDR (Managed AD 網域控制站私有子網路範圍內的 CIDR): + 網域控制站的子網路 CIDR 1:【您的 CIDR 需要屬於 AMS Managed AD VPC CIDR】 + 網域控制站的子網路 CIDR 2:【您的 CIDR 需要屬於 AMS Managed AD VPC CIDR】 例如: + Managed AD VPC CIDR:192.168.0.0/16 + 網域控制器的 CIDR 1:192.168.1.0/24 + 網域控制器的 CIDR 2:192.168.2.0/24 為了避免 IP 地址衝突,請確定您指定的 Managed AD VPC CIDR 不會與您公司網路中使用的任何其他私有子網路 CIDR 衝突。 + VPN 技術 (選用):【Direct Connect/Direct Connect 和 VPN】 + 閘道的 BGP 自治系統編號 (ASN):【客戶提供的 ASN】 + 閘道外部界面的網際網路可路由 IP 地址,地址必須為靜態:【客戶提供的 IP 地址】 + 您的 VPN 連接是否需要靜態路由:【是/否】 1. AMS 為您提供 AD 環境的管理員帳戶密碼,並要求您重設密碼,以便 AMS 工程師無法再存取您的 AD 環境。 1. 若要重設管理員帳戶密碼,請使用 Active Directory 使用者和電腦 (ADUC) 連線至您的 Active Directory 環境。ADUC 和其他遠端伺服器管理工具 (RSAT) 應該安裝在您在非 AMS 基礎設施上佈建的管理主機上並執行。Microsoft 有保護此類管理主機的最佳實務。如需詳細資訊,請參閱[實作安全管理主機](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/implementing-secure-administrative-hosts)。您可以使用這些管理主機來管理 Active Directory 環境。 1. 在日常操作中,AMS 最多會管理物件的 AWS 帳戶 AWS Directory Service 端;例如,VPC 組態、AD 備份、AD 信任建立和刪除等。您可以使用並管理您的 AD 環境;例如,使用者建立、群組建立、群組政策建立等。 如需最新的 RACI 資料表,請參閱《請參閱[服務描述](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html)》中的「角色與責任」一節。