Managed Service for Microsoft Active Directory (Managed Microsoft AD) 提供由 Google Cloud託管且可用性高的強化版 Microsoft Active Directory 網域。這項服務可協助您減少管理 Active Directory 時需要執行的重要但繁瑣的管理工作,同時將 Active Directory 的使用範圍擴大至雲端。
透過 Managed Microsoft AD,您可以透過樹系層級信任關係 Google Cloud 連線至現有的內部部署 Active Directory 基礎架構,方便安全存取貴機構的資料。
代管 Microsoft AD 的運作方式
Managed Microsoft AD 會在 Windows 虛擬機器上執行實際的 Microsoft Active Directory 網域控制站,確保應用程式相容性。這項服務會為您建立及維護網域控制器,減少您需要管理的維護工作。
多區域支援
當 Managed Microsoft AD 與 Google Cloud的全球低延遲虛擬私有雲 (VPC) 配對時,可支援多個區域的 Active Directory 樹狀結構部署。在 VPC 中,您可以將 Managed Microsoft AD 擴充至多個區域,而不需要在區域之間建立 VPC 互連或混合式連線。這項彈性功能表示您不必在基礎架構所在的區域部署 Managed Microsoft AD,也不必為每個區域建立個別網域。您可以將網域擴展至最多四個支援的區域,以便在區域服務中斷時恢復正常,並視需要在其他區域部署網域控制站,輕鬆進行水平擴充。為維持高可用性並提高容錯能力,Managed Microsoft AD 會在非重疊的 Google Cloud 區域中,為每個區域部署兩個網域控制站。
森林設計模型
Managed Microsoft AD 支援下列 Active Directory 樹狀結構設計模式:
機構樹狀結構:同一個樹狀結構包含使用者帳戶和資源,這些資源會個別管理。
資源樹狀結構:使用個別的樹狀結構來管理資源。
限制存取權的樹系:個別樹系包含必須與機構其他部分隔離的使用者帳戶和資料。
進一步瞭解廣告活動森林設計模式,以及如何為貴機構選擇合適的模式。
代管 Microsoft AD 的不同之處
Managed Microsoft AD 與傳統的 Active Directory 部署方式有許多不同之處。
實作傳統的 Active Directory 部署時,您必須:
手動設計及部署貴機構的高可用性 AD 拓樸。
手動執行 AD 診斷工具,確保網域運作正常,包括追蹤 DNS、複寫、驗證、CPU 負載等。
手動建立備份計畫,並驗證貴機構的災難復原回應。
手動為代管 AD 網域的網路定義防火牆規則。
請特別注意,確保在同一個網路上執行的其他伺服器不會危害您的 AD 網域。
手動為 AD 網域控制站套用修正程式。
盡力設計及實施安全性最佳做法,例如對網域管理員帳戶設定時間限制。
請確保只有受信任的使用者能對執行 AD 網域控制站的資源擁有管理員存取權。
透過自動化本節先前列出的部分工作,代管 Microsoft AD 可協助您減少設定及維護 Active Directory 網域所需的作業。
開始使用 Managed Microsoft AD
如要開始使用 Managed Microsoft AD,請指定 Managed Microsoft AD 網域的名稱,以及 Managed Microsoft AD 網域可使用的 Google Cloud 虛擬私有雲網路。您可以使用已授權的 Google Cloud VPC 網路中的虛擬機器,或透過透過 VPN 或 Cloud Interconnect 連線至 Google Cloud的內部部署基礎架構和其他雲端產品,存取 Managed Microsoft AD 網域。
代管的 Microsoft AD 提供下列 AD 物件:
委派的管理員帳戶。使用該帳戶管理 Active Directory 網域。
Cloud機構單位 (OU)。使用CloudOU 建立 Active Directory 物件 (例如使用者、服務帳戶和群組) 以及其他 OU。您可以將群組原則物件 (GPO) 套用至Cloud機構單位下建立的機構單位。
詳情請參閱「受管理的 Microsoft AD 中的預設 Active Directory 物件」。