Amazon Managed Microsoft AD 的主要概念 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Managed Microsoft AD 的主要概念

如果您熟悉以下主要概念,将能够更充分地利用 Amazon Managed Microsoft AD。

Active Directory 架构

架构是属于分布式目录一部分的属性和类的定义,与数据库中的字段和表类似。架构包含一组规则,它们确定可以在数据库中添加或包含的数据的类型和格式。User 类是存储在数据库中的 的一个示例。User 类属性的示例如用户的名字、姓氏、电话号码等。

架构元素

属性、类和对象是用于在架构中构建对象定义的基本元素。下面提供了在开始扩展 Amazon Managed Microsoft AD 架构的过程之前务必要了解的架构元素的相关详细信息。

属性

每个架构属性 (attribute,类似于数据库中的字段) 都具有若干个定义属性 (attribute) 特征的属性 (property)。例如,LDAP 客户端用于读取和写入属性 (attribute) 的属性 (property) 是 LDAPDisplayNameLDAPDisplayName 属性 (property) 在所有属性 (attribute) 和类中必须是唯一的。有关属性 (attribute) 特征的完整列表,请参阅 MSDN 网站上的 Characteristics of Attributes。有关如何创建新属性 (attribute) 的其他指导,请参阅 MSDN 网站上的 Defining a New Attribute

类与数据库中的表类似,也要定义几个属性 (property)。例如,objectClassCategory 定义类的类别。有关类特征的完整列表,请参阅 MSDN 网站上的 Characteristics of Object Classes。有关如何创建新类的更多信息,请参阅 MSDN 网站上的 Defining a New Class

对象标识符 (OID)

每个类和属性都必须具有一个对所有对象唯一的 OID。软件供应商必须获取自己的 OID 以确保唯一性。当多个应用程序将相同属性用于不同用途时,唯一性可避免冲突。要确保唯一性,可以从 ISO 名称注册机构获取根 OID。或者可以从 Microsoft 获取基本 OID。有关 OID 以及如何获取它们的更多信息,请参阅 MSDN 网站上的 Object Identifiers

架构链接属性

某些属性使用向前和向后链接在两个类之间进行链接。最好的示例是组。查看某个组时,会显示该组的成员;如果查看某个用户,可以看到它所属的组。将用户添加到组时,Active Directory 会创建指向组的向前链接。随后 Active Directory 会添加从组到用户的向后链接。创建将链接的属性时,必须生成唯一链接 ID。有关更多信息,请参阅 MSDN 网站上的 Linked Attributes

Amazon Managed Microsoft AD 的修补和维护

Amazon Directory Service for Microsoft Active Directory 也称作 Amazon DS for Amazon Managed Microsoft AD,实际上是作为托管服务提供的 Microsoft Active Directory 域服务(AD DS)。此系统使用 Microsoft Windows Server 2019 作为域控制器(DC),Amazon 向 DC 添加软件来用于服务管理目的。Amazon 更新(修补)DC 以添加新功能并使 Microsoft Windows Server 软件保持最新状态。在修补过程中,您的目录仍可供使用。

确保可用性

默认情况下,每个目录由两个 DC 组成,每个 DC 安装在不同的可用区。您可以选择添加 DC 以进一步提高可用性。对于需要高可用性和容错能力的关键环境,我们建议部署更多 DC。 Amazon按顺序修补您的 DC,在此期间,Amazon正在进行修补的 DC 不可用。如果您的一个或多个 DC 暂时停止服务,Amazon 将延迟修补操作,直到您的目录至少有两个可正常工作的 DC。这让您在修补期间能够使用其他正常工作的 DC。每个 DC 的修补时间通常为 30 到 45 分钟,具体用时可能有所不同。为确保在一个或多个 DC 因任何原因 (包括修补) 不可用时您的应用程序能够访问正常工作的 DC,应用程序应使用 Windows DC 定位器服务,而不要使用静态 DC 地址。

了解修补计划

为使您的 DC 上的 Microsoft Windows Server 软件保持最新状态,Amazon 使用了 Microsoft 更新。Microsoft 每月为 Windows Server 提供汇总补丁,这使得 Amazon 有机会在三个日历周的时间里尽最大努力测试汇总补丁并将其应用至所有客户 DC。此外,Amazon 还将根据 DC 适用性和紧急程度审查 Microsoft 在每月汇总补丁以外发布的更新。对于被 Microsoft 评定为关键重要 的 DC 相关安全补丁,Amazon 将尽一切努力在五天内测试和部署补丁。

组托管服务账户

在 Windows Server 2012 中,Microsoft 引入管理员可用于管理服务账户的新方法,称为组托管服务账户 (gMSA)。使用 gMSA,服务管理员不再需要手动管理服务实例之间的密码同步。管理员可以在 Active Directory 中轻松地创建一个 gMSA,然后配置多个服务实例来使用这个 gMSA。

要授予权限以便 Amazon Managed Microsoft AD 中的用户可以创建 gMSA,您必须将其账户添加作为 Amazon 托管服务账户委托管理员安全组的成员。默认情况下,管理员账户是该组的成员。有关 GMSA 的更多信息,请参阅 Microsoft 网站上的群组托管服务帐户概述。 TechNet

相关的 Amazon 安全博客文章

Kerberos 约束委托

Kerberos 约束委托是 Windows Server 中的一项功能。此功能使得服务管理员可以限制应用程序能够代表用户执行操作的范围,从而指定和实施应用程序信任边界。这在您需要配置哪些前端服务账户可以委托给其后端服务时非常有用。Kerberos 约束委托还可以防止 gMSA 代表您的 Active Directory 用户连接到所有服务,避免恶意开发人员可能的滥用。

例如,假设用户 jsmith 登录到 HR 应用程序。您希望 SQL Server 应用 jsmith 的数据库权限。但是,默认情况下,SQL Server 使用应用权限的服务帐户凭据(而不是 jsmith 配置 hr-app-service的权限)打开数据库连接。您必须使 HR 薪资应用程序能够使用 jsmith 的凭证访问 SQL Server 数据库。为此,您可以在中的托管 Amazon Microsoft AD 目录中为 hr-app-service 服务帐户启用 Kerberos 受限委托。Amazon当 jsmith 登录时,Active Directory 提供 Kerberos 票证,当 jsmith 尝试访问网络上的其他服务时,Windows 自动使用该票证。Kerberos 委托使该 hr-app-service 账户能够在访问数据库时重复使用 jsmith Kerberos 票证,从而在打开数据库连接时应用特定于 jsmith 的权限。

要授予权限,允许 Amazon Managed Microsoft AD 中的用户配置 Kerberos 约束委托,您必须将其账户添加为 Amazon Kerberos 委托管理员安全组的成员。默认情况下,管理员账户是该组的成员。有关 Kerberos 受限委派的更多信息,请参阅 Microsoft 网站上的 Kerberos 约束委派概述。 TechNet

Windows Server 2012 中引入了基于资源的约束委托。此功能使后端服务管理员能够为服务配置约束委托。