Microsoft Active Directory (AD) là gì

Microsoft Active Directory (AD) là một kiến trúc độc quyền của Microsoft.

AD cho phép quản lý:

• Người dùng & nhóm (user, group),
• Thiết bị (computer accounts, domain-joined machines),
• Chính sách bảo mật (Group Policy),
• Xác thực & phân quyền (Kerberos, NTLM, LDAP).

Nói đơn giản: AD giống “sổ địa chỉ + bảo mật trung tâm” cho cả mạng nội bộ — ai là ai, ai được làm gì, và các máy tính thuộc domain nào.

Thành phần chính của AD

• Domain Controller (DC): máy chủ chịu trách nhiệm xác thực người dùng và lưu trữ directory (Active Directory Database).
• Domain: phạm vi quản lý (ví dụ corp.example.com).
• Organizational Units (OU): dùng để tổ chức user/computer theo phòng ban, áp policy.
• Group Policy Objects (GPOs): policy áp cho OU, user, hoặc computer (cài phần mềm, cấu hình bảo mật…).
• Trusts: quan hệ tin cậy giữa miền/domain (giúp user từ domain A truy cập tài nguyên domain B).

Use cases tiêu biểu của AD on-premises

• Đăng nhập Windows (Domain-joined PCs).
• Centralized authentication cho file share (SMB), ứng dụng nội bộ.
• Áp policy cấu hình (Group Policy) cho máy người dùng.
• Single Sign-On trong nội bộ doanh nghiệp (kết hợp với ADFS/IdP).

AWS Directory Services — Những lựa chọn trên AWS

Khi đưa workload lên AWS, bạn vẫn có nhu cầu về directory/identity (đăng nhập EC2, Windows auth cho RDS, Single Sign-On, v.v.). AWS cung cấp một nhóm dịch vụ gọi chung là AWS Directory Services để tích hợp AD với cloud. Dưới đây là các lựa chọn chính và cách dùng từng loại.

1. AWS Managed Microsoft AD (Managed AD)

Mô tả ngắn: AWS triển khai và quản lý Active Directory hoàn chỉnh (Windows Server AD) trên AWS — bao gồm domain controllers chạy trên AWS, multi-AZ replication, và khả năng thiết lập trust với on-prem AD.

Đặc điểm:

• Full-featured Microsoft AD (schema, GPO, trusts, Kerberos, LDAP).
• Triển khai multi-AZ, AWS lo patch/backup/replication.
• Hỗ trợ trust với on-prem AD (2-way hoặc 1-way trust).

Khi dùng:

• Bạn cần mọi tính năng AD trên cloud (Group Policy, trusts, Kerberos, LDAP).
• Muốn domain-join EC2 Windows/workloads khác.
• Cần tích hợp với AD-aware services (RDS SQL Server domain auth, SharePoint, etc).
• Muốn giảm vận hành DC nhưng vẫn dùng AD chuẩn MS.

2. AD Connector

Mô tả ngắn: AD Connector là proxy đến AD on-premises — nó không lưu trữ directory trong AWS mà chuyển tiếp yêu cầu xác thực về DC on-prem.

Đặc điểm:

• Không tạo domain controller trên AWS.
• Dùng khi bạn muốn dùng AD on-prem để xác thực user cho resources trên AWS.
• Thích hợp cho AWS Managed services cần xác thực (ví dụ: console SSO, file share, domain join thông qua trust).

Khi dùng:

• Bạn không muốn sao chép dữ liệu directory lên AWS.
• Muốn user on-prem tiếp tục dùng credentials để truy cập EC2/Windows workloads trên AWS.
• Khi có kết nối mạng ổn định (VPN/Direct Connect) giữa on-prem và AWS.

3. Simple AD

Mô tả ngắn: Simple AD là một directory dựa trên Samba, cung cấp các tính năng AD cơ bản. Nó nhẹ và rẻ nhưng không đủ tính năng cho môi trường enterprise.

Đặc điểm:

• Hỗ trợ LDAP, Kerberos, nhưng không hỗ trợ trusts hay nhiều tính năng nâng cao.
• Thường dùng cho dev/test hoặc workloads nhỏ.

Lưu ý: Simple AD có giới hạn và AWS khuyến nghị dùng Managed Microsoft AD nếu cần AD thực thụ.

Kết hợp với IAM Identity Center (SSO)

• IAM Identity Center có thể kết nối tới Managed Microsoft AD hoặc tới external IdP để cung cấp SSO cho AWS console và ứng dụng SaaS.
• Thường dùng khi muốn trung tâm hóa quyền truy cập cho nhiều tài khoản AWS (AWS Organizations).

So sánh ngắn — Khi nào chọn gì?