Managed Service for Microsoft Active Directory (שירות מנוהל של Microsoft AD) מציע דומיינים של Microsoft Active Directory מוקשחים עם זמינות גבוהה, שמארח Google Cloud. השירות הזה עוזר לצמצם את המשימות האדמיניסטרטיביות החשובות אבל השגרתיות שנדרשות לניהול Active Directory, וגם להרחיב את טביעת הרגל של Active Directory אל הענן.
שירות מנוהל ל-Microsoft AD מאפשר להתחבר לתשתית Active Directory הקיימת שלכם, שנמצאת בפריסה מקומית, מ- Google Cloud באמצעות אמון ברמת היער, וכך מאפשר גישה מאובטחת לנתונים של הארגון.
איך שירות מנוהל ל-Microsoft AD עובד
שירות מנוהל ל-Microsoft AD מפעיל בקרי דומיין של Microsoft Active Directory במכונות וירטואליות של Windows כדי להבטיח תאימות לאפליקציות. השירות יוצר ומתחזק את בקרי הדומיין בשבילכם, ומצמצם את משימות התחזוקה שאתם צריכים לנהל.
תמיכה במספר אזורים
שירות מנוהל ל-Microsoft AD תומך בפריסה רב-אזורית של יערות Active Directory כשהוא מחובר באמצעות Peering לענן וירטואלי פרטי (VPC) גלובלי עם זמן אחזור נמוך של Google Cloud. ב-VPC, אפשר להרחיב את Managed Microsoft AD למספר אזורים, בלי שיהיה צורך בקישור בין רשתות VPC שכנות (peering) או בקישוריות היברידית בין האזורים. הגמישות הזו מאפשרת לכם לא לפרוס את שירות מנוהל ל-Microsoft AD באותו אזור כמו התשתית, ולא ליצור דומיין נפרד לכל אזור. אפשר להרחיב את הדומיין לעד ארבעה אזורים נתמכים כדי להיות עמידים להפסקות שירות אזוריות ולבצע בקלות הרחבה אופקית, על ידי פריסת בקרי דומיין באזורים נוספים לפי הצורך. כדי לשמור על זמינות גבוהה ולשפר את הסבילות לכשלים, שירות מנוהל ל-Microsoft AD פורס שני בקרי דומיין לכל אזור באזורים Google Cloud שלא חופפים.
מודלים של עיצוב יערות
שירות מנוהל ל-Microsoft AD תומך במודלים הבאים של תכנון יער Active Directory:
יער ארגוני: אותו יער מכיל גם חשבונות משתמשים וגם משאבים, שמנוהלים בנפרד.
יער משאבים: יער נפרד שמשמש לניהול משאבים.
יער עם גישה מוגבלת: יער נפרד שמכיל חשבונות משתמשים ונתונים שצריכים להיות מבודדים משאר הארגון.
מידע נוסף על מודלים של עיצוב יערות AD איך בוחרים את המודל המתאים לארגון
ההבדלים בין שירות מנוהל ל-Microsoft AD לבין Microsoft AD
שירות מנוהל ל-Microsoft AD שונה מפריסה מסורתית של Active Directory בכמה דרכים.
כשמטמיעים פריסה מסורתית של Active Directory, צריך:
תכנון ופריסה ידניים של טופולוגיית AD עם זמינות גבוהה בארגון.
מריצים אבחון של AD באופן ידני כדי לוודא שהדומיין תקין, כולל מעקב אחרי DNS, שכפול, אימות, עומס CPU ועוד.
ליצור תוכניות גיבוי באופן ידני ולאמת את תגובת הארגון לאסון.
מגדירים ידנית כללי חומת אש לרשת שמארחת את דומיין AD.
חשוב במיוחד לוודא ששרתים אחרים שפועלים באותה רשת לא יכולים לפגוע בדומיין של Active Directory.
מבצעים תיקון ידני של בקרי הדומיין של Active Directory.
מומלץ לתכנן ולהטמיע שיטות מומלצות לאבטחה, כמו גישה מוגבלת בזמן לחשבון האדמין בדומיין.
חשוב לוודא שרק למשתמשים מהימנים יש הרשאת אדמין למקורות המידע שמפעילים את בקרי הדומיין של AD.
שירות מנוהל ל-Microsoft AD עוזר לצמצם את המאמץ שנדרש להגדרה ולתחזוקה של דומיינים של Active Directory, כי הוא מבצע באופן אוטומטי חלק מהמשימות שצוינו קודם בקטע הזה.
תחילת העבודה עם שירות מנוהל ל-Microsoft AD
כדי להתחיל להשתמש בשירות מנוהל ל-Microsoft AD, צריך לציין את השם של דומיין שירות מנוהל ל-Microsoft AD ואת רשתות ה-VPC שבהן הדומיין הזה מורשה להיות זמין. Google Cloud אפשר לגשת לשירות מנוהל ל-Microsoft AD באמצעות מכונות וירטואליות ברשתות ה-VPC המורשות שלכם, או באמצעות תשתית מקומית ומוצרי ענן אחרים שמתחברים באמצעות VPN או Cloud Interconnect. Google Cloud Google Cloud
שירות מנוהל ל-Microsoft AD מספק את אובייקטי ה-AD הבאים:
חשבון אדמין עם הרשאה. משתמשים בחשבון כדי לנהל את הדומיין של Active Directory.
היחידה הארגונית
Cloud. משתמשים ביחידה הארגוניתCloudכדי ליצור את האובייקטים של Active Directory, כמו משתמשים, חשבונות שירות וקבוצות, וגם יחידות ארגוניות נוספות. אפשר להחיל אובייקטים של מדיניות קבוצתית (GPO) על היחידות הארגוניות שיוצרים מתחת ליחידה הארגוניתCloud.
מידע נוסף זמין במאמר אובייקטים של Active Directory שמוגדרים כברירת מחדל בשירות מנוהל ל-Microsoft AD.