Auswählen, ob der Host-Überwachungsdienst in einer eigenen dedizierten Gesamtstruktur oder in einer vorhandenen Bastion-Gesamtstruktur installiert werden soll

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Die Active Directory-Gesamtstruktur für HGS ist vertraulich, da ihre Administratoren Zugriff auf die Schlüssel haben, die abgeschirmte VMs steuern. Bei der Standardinstallation wird eine neue, für HGS dedizierte Gesamtstruktur eingerichtet, und es werden andere Abhängigkeiten konfiguriert. Diese Option wird empfohlen, da die Umgebung eigenständig und bei der Erstellung bekanntermaßen sicher ist.

Die einzige technische Voraussetzung für die Installation von HGS in einer vorhandenen Gesamtstruktur besteht darin, dass es der Stammdomäne hinzugefügt wird. Nicht-Stammdomänen werden nicht unterstützt. Es gibt jedoch auch betriebliche Anforderungen und bewährte Methoden im Zusammenhang mit Sicherheit für die Verwendung einer vorhandenen Gesamtstruktur. Geeignete Gesamtstrukturen werden speziell für eine sensible Funktion erstellt, z. B. die von Privileged Access Management for AD DS verwendete Gesamtstruktur oder eine ESAE-Gesamtstruktur (Enhanced Security Administrative Environment). Solche Gesamtstrukturen weisen in der Regel die folgenden Merkmale auf:

• Sie verfügen über wenige Administratoren (getrennt von Fabricadministratoren)
• Sie haben eine geringe Anzahl von Anmeldungen
• Sie sind nicht universell

Universelle Gesamtstrukturen, z. B. Produktionsgesamtstrukturen, sind nicht für die Verwendung durch HGS geeignet. Fabricgesamtstrukturen sind auch ungeeignet, da HGS von Fabricadministratoren isoliert werden muss.

Nächster Schritt

Wählen Sie die Installationsoption aus, die am besten zu Ihrer Umgebung passt:

• Installieren von HGS in einer eigenen dedizierten Gesamtstruktur
• Installieren von HGS in einer vorhandenen Bastion-Gesamtstruktur