Was wird mit Ihrem AWS Managed Microsoft AD erstellt - AWS Directory Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was wird mit Ihrem AWS Managed Microsoft AD erstellt

Wenn Sie ein erstellen Active Directory AWS Directory Service führt mit AWS Managed Microsoft AD die folgenden Aufgaben in Ihrem Namen aus:

  • Erstellt automatisch eine elastic network interface (ENI) und ordnet sie jedem Ihrer Domänencontroller zu. Jede dieser Komponenten ist für ENIs die Konnektivität zwischen Ihnen VPC und Ihren AWS Directory Service Domänencontrollern unerlässlich und sollte niemals gelöscht werden. Sie können alle Netzwerkschnittstellen, die für die Verwendung reserviert sind, AWS Directory Service anhand der folgenden Beschreibung identifizieren: "Netzwerkschnittstelle für Verzeichnis-ID AWS wurde erstellt“. Weitere Informationen finden Sie unter Elastic Network Interfaces im EC2Amazon-Benutzerhandbuch. Der DNS Standardserver von AWS Managed Microsoft AD Active Directory ist der VPC DNS Server bei Classless Inter-Domain Routing (CIDR) +2. Weitere Informationen finden Sie unter DNSAmazon-Server im VPCAmazon-Benutzerhandbuch.

    Anmerkung

    Domain-Controller werden standardmäßig in zwei Availability Zones in einer Region bereitgestellt und mit Ihrem Amazon VPC (VPC) verbunden. Backups werden automatisch einmal täglich erstellt, und die Amazon EBS (EBS) -Volumes werden verschlüsselt, um sicherzustellen, dass die Daten im Ruhezustand gesichert sind. Domain-Controller, die ausfallen, werden automatisch in derselben Availability Zone unter Verwendung derselben IP-Adresse ersetzt, und eine vollständige Notfallwiederherstellung kann unter Verwendung des letzten Backups durchgeführt werden.

  • Bestimmungen Active Directory bei der VPC Verwendung von zwei Domänencontrollern aus Gründen der Fehlertoleranz und Hochverfügbarkeit. Nachdem das Verzeichnis erfolgreich erstellt wurde und Aktiv ist, können weitere Domain-Controller bereitgestellt werden, um die Ausfallsicherheit und Leistung zu erhöhen. Weitere Informationen finden Sie unter Bereitstellung zusätzlicher Domänencontroller für Ihr AWS verwaltetes Microsoft AD.

    Anmerkung

    AWS erlaubt nicht die Installation von Monitoring-Agents auf AWS verwalteten Microsoft AD-Domänencontrollern.

  • Erstellt eine AWS Sicherheitsgruppe, die Netzwerkregeln für den Verkehr zu und von Ihren Domänencontrollern festlegt. Die Standardregel für ausgehenden Datenverkehr lässt den gesamten Datenverkehr ENIs oder alle Instanzen zu, die an die erstellte AWS Sicherheitsgruppe angehängt sind. Die Standardregeln für eingehenden Datenverkehr lassen nur Datenverkehr über Ports zu, die erforderlich sind für Active Directory von Ihrem VPC CIDR für Ihr AWS Managed Microsoft AD. Diese Regeln führen nicht zu Sicherheitslücken, da der Datenverkehr zu den Domänencontrollern auf IhrenVPC, von anderen Peering-Netzwerken oder von Netzwerken beschränkt istVPCs, die Sie über AWS Direct Connect AWS Transit Gateway oder Virtual Private Network verbunden haben. Um zusätzliche Sicherheit zu gewährleisten, sind ENIs die erstellten Dateien nicht mit Elastic IPs verknüpft und Sie sind ENIs nicht berechtigt, ihnen eine Elastic IP zuzuweisen. Daher ist der einzige eingehende Verkehr, der mit Ihrem AWS verwalteten Microsoft AD kommunizieren kann, lokaler VPC und VPC gerouteter Verkehr. Sie können die Regeln der AWS Sicherheitsgruppe ändern. Seien Sie äußerst vorsichtig, wenn Sie versuchen, diese Reglen zu ändern, da Sie die Fähigkeit zur Kommmunikation mit Ihren Domain-Controllern beeinträchtigen können. Weitere Informationen finden Sie unter AWS Bewährte Methoden für verwaltetes Microsoft AD. Die folgenden AWS Sicherheitsgruppenregeln werden standardmäßig erstellt:

    Regeln für eingehenden Datenverkehr

    Protokoll Port-Bereich Quelle Datenverkehrstyp Verwendung von Active Directory
    ICMP N/A AWS Verwaltetes Microsoft AD VPC IPv4 CIDR Ping LDAPBleib am Leben, DFS
    TCP & UDP 53 AWS Verwaltetes Microsoft AD VPC IPv4 CIDR DNS Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen
    TCP & UDP 88 AWS Verwaltetes Microsoft AD VPC IPv4 CIDR Kerberos Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene
    TCP & UDP 389 AWS Verwaltetes Microsoft AD VPC IPv4 CIDR LDAP Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen
    TCP & UDP 445 AWS Verwaltetes Microsoft AD VPC IPv4 CIDR SMB / CIFS Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen
    TCP & UDP 464 AWS Verwaltetes Microsoft AD VPC IPv4 CIDR Kerberos Passwort ändern/einrichten Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen
    TCP 135 AWS Verwaltetes Microsoft AD VPC IPv4 CIDR Replikation RPC, EPM
    TCP 636 AWS Verwaltetes Microsoft AD VPC IPv4 CIDR LDAP SSL Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen
    TCP 1024 - 65535 AWS Verwaltetes Microsoft AD VPC IPv4 CIDR RPC Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen
    TCP 3268 - 3269 AWS Verwaltetes Microsoft AD VPC IPv4 CIDR LDAPGC und LDAP GC SSL Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen
    UDP 123 AWS Verwaltetes Microsoft AD VPC IPv4 CIDR Windows-Uhrzeit Windows-Uhrzeit, Vertrauensstellungen
    UDP 138 AWS Verwaltetes Microsoft AD VPC IPv4 CIDR DFSN & NetLogon DFS, Gruppenrichtlinie
    Alle Alle AWS Verwaltetes Microsoft AD VPC IPv4 CIDR Gesamter Datenverkehr

    Regeln für ausgehenden Datenverkehr

    Protokoll Port-Bereich Bestimmungsort Datenverkehrstyp Verwendung von Active Directory
    Alle Alle 0.0.0.0/0 Gesamter Datenverkehr

  • Weitere Informationen zu den Ports und Protokollen, die von verwendet werden Active Directory, siehe Serviceübersicht und Netzwerkportanforderungen für Windows in Microsoft -Dokumentation.

  • Erstellt ein Verzeichnisadministratorkonto mit dem Benutzernamen Admin und dem angegebenen Passwort. Dieses Konto befindet sich unter der OU Benutzer (Beispiel: Corp > Benutzer). Sie verwenden dieses Konto, um Ihr Verzeichnis in der AWS Cloud zu verwalten. Weitere Informationen finden Sie unter AWS Berechtigungen für verwaltete Microsoft AD-Administratorkonten.

    Wichtig

    Achten Sie darauf, dieses Passwort zu speichern. AWS Directory Service speichert dieses Passwort nicht und es kann nicht abgerufen werden. Sie können ein Passwort jedoch von der AWS Directory Service Konsole aus oder mithilfe von zurücksetzen ResetUserPasswordAPI.

  • Erstellt die folgenden drei Organisationseinheiten (OUs) unter dem Domänenstamm:

    Name der Organisationseinheit Beschreibung

    AWS Delegierte Gruppen

    		Speichert alle Gruppen, die Sie verwenden können, um AWS bestimmte Berechtigungen an Ihre Benutzer zu delegieren.
    AWS Reserviert Speichert alle AWS verwaltungsspezifischen Konten.
    <yourdomainname> Der Name dieser Organisationseinheit basiert auf dem BIOS Netznamen, den Sie bei der Erstellung Ihres Verzeichnisses eingegeben haben. Wenn Sie keinen BIOS Netznamen angegeben haben, wird standardmäßig der erste Teil Ihres DNS Verzeichnisnamens verwendet (im Fall von corp.example.com wäre der BIOS Netzname beispielsweise corp). Diese Organisationseinheit gehört all Ihren AWS zugehörigen Verzeichnisobjekten AWS und enthält diese, über die Sie Vollzugriff haben. In dieser Organisationseinheit OUs gibt es standardmäßig zwei untergeordnete Elemente: Computer und Benutzer. Beispielsweise:

    • Corp

      • Computers (Computer)

      • Benutzer

  • Erstellt die folgenden Gruppen in der Organisationseinheit AWS Delegated Groups:

    Group name (Gruppenname) Beschreibung
    AWS Operatoren für delegierte Konten Mitglieder dieser Sicherheitsgruppe verfügen über begrenzte Funktionen zur Kontoverwaltung, wie beispielsweise das Zurücksetzen von Passwörtern

    AWS Delegierte Active-Directory-basierte Aktivierungsadministratoren

    Mitglieder dieser Sicherheitsgruppe können Active-Directory-Volumenlizenzaktivierungsobjekte erstellen, die es Unternehmen ermöglichen, Computer über eine Verbindung zu ihrer Domain zu aktivieren.
    AWS Delegiertes Hinzufügen von Arbeitsstationen zu Domänenbenutzern Mitglieder dieser Sicherheitsgruppe können einer Domain 10 Computer hinzufügen.
    AWS Delegierte Administratoren Mitglieder dieser Sicherheitsgruppe können AWS Managed Microsoft AD verwalten, haben volle Kontrolle über alle Objekte in Ihrer Organisationseinheit und können Gruppen verwalten, die in der Organisationseinheit AWS Delegated Groups enthalten sind.
    AWS Delegiert: Darf Objekte authentifizieren Mitgliedern dieser Sicherheitsgruppe wird die Möglichkeit gegeben, sich bei Computerressourcen in der AWS reservierten Organisationseinheit zu authentifizieren (nur für lokale Objekte mit aktivierter selektiver Authentifizierung als Trusts erforderlich).
    AWS Delegiert: Zur Authentifizierung bei Domänencontrollern zugelassen Mitglieder dieser Sicherheitsgruppe erhalten die Möglichkeit, sich bei Computerressourcen in der OU Domain-Controller zu authentifizieren (nur für On-Premises-Objekte mit Vertrauensstellungen mit aktivierter selektiver Authentifizierung erforderlich).

    AWS Delegierte Administratoren für die Gültigkeitsdauer gelöschter Objekte

    Mitglieder dieser Sicherheitsgruppe können das DeletedObjectLifetime MSDS-Objekt ändern, das festlegt, wie lange ein gelöschtes Objekt für die Wiederherstellung aus dem AD-Papierkorb verfügbar ist.
    AWS Delegierte Administratoren verteilter Dateisysteme Mitglieder dieser Sicherheitsgruppe können DFS -R- und FRS DFS Namespaces hinzufügen und entfernen.
    AWS Delegierte Domänennamen-Systemadministratoren Mitglieder dieser Sicherheitsgruppe können Active Directory integriert DNS verwalten.
    AWS Delegierte Administratoren des Dynamic Host Configuration Protocol Mitglieder dieser Sicherheitsgruppe können DHCP Windows-Server im Unternehmen autorisieren.
    AWS Delegierte Administratoren von Unternehmenszertifizierungsstellen Mitglieder dieser Sicherheitsgruppe können die Microsoft Enterprise Certificate Authority-Infrastruktur bereitstellen und verwalten.
    AWS Delegierte, fein abgestufte Administratoren für Kennwortrichtlinien Mitglieder dieser Sicherheitsgruppe können vorab festgelegte differenzierte Passwortrichtlinien abändern.
    AWS Delegierte Administratoren FSx Mitglieder dieser Sicherheitsgruppe erhalten die Möglichkeit, FSx Amazon-Ressourcen zu verwalten.
    AWS Delegierte Gruppenrichtlinien-Administratoren Mitglieder dieser Sicherheitsgruppe können Verwaltungsaufgaben für Gruppenrichtlinien durchführen (erstellen, bearbeiten, löschen, verlinken).
    AWS Delegierte Kerberos-Delegierungsadministratoren Mitglieder dieser Sicherheitsgruppe können eine Delegation auf Computer- und Benutzerkontenobjekten aktivieren.
    AWS Delegierte Administratoren für verwaltete Dienstkonten Mitglieder dieser Sicherheitsgruppe können Managed Service-Konten erstellen und löschen.
    AWS Delegierte MS-konforme Geräte NPRC Mitglieder dieser Sicherheitsgruppe werden von der Anforderung einer Secure Channel Kommunikation mit Domain-Controllern ausgenommen. Diese Gruppe ist für Computerkonten vorgesehen.
    AWS Delegierte Administratoren des Fernzugriffsdienstes Mitglieder dieser Sicherheitsgruppe können Server zur Gruppe und RAS Server hinzufügen RAS und daraus IAS entfernen.
    AWS Delegiert: Administratoren replizieren: Verzeichnisänderungen Mitglieder dieser Sicherheitsgruppe können Profilinformationen in Active Directory mit dem SharePoint Server synchronisieren.
    AWS Delegierte Serveradministratoren Mitglieder dieser Sicherheitsgruppe sind in der lokalen Administratorgruppe auf allen mit der Domain verknüpften Computern enthalten.
    AWS Delegierte Sites- und Services-Administratoren Mitglieder dieser Sicherheitsgruppe können das Default-First-Site-Name Objekt in Active Directory-Standorten und -Diensten umbenennen.
    AWS Delegierte Systemverwaltungsadministratoren Mitglieder dieser Sicherheitsgruppe können Objekte im Systemverwaltungscontainer erstellen und verwalten.
    AWS Delegierte Administratoren für die Terminalserver-Lizenzierung Mitglieder dieser Sicherheitsgruppe können der Terminal Server License Servers-Gruppe Terminal Server License Server hinzufügen und sie daraus entfernen.
    AWS Delegierte Administratoren mit Benutzerprinzipalnamensuffixen Mitglieder dieser Sicherheitsgruppe können Suffixe für den Benutzer-Prinzipalnamen hinzufügen und entfernen.
    Anmerkung

    Sie können zu diesen AWS delegierten Gruppen etwas hinzufügen.

  • Erstellt die folgenden Gruppenrichtlinienobjekte (GPOs) und wendet sie an:

    Anmerkung

    Sie sind nicht berechtigt, diese GPOs zu löschen, zu ändern oder die Verknüpfung aufzuheben. Dies ist beabsichtigt, da sie der AWS Verwendung vorbehalten sind. Sie können sie bei Bedarf mit OUs denen verknüpfen, die Sie kontrollieren.

    Gruppenrichtlinienname Gilt für Beschreibung
    Standard-Domainrichtlinie Domain Beinhaltet Domainpasswort und Kerberos-Richtlinien.
    ServerAdmins Alle Computerkonten, die keine Domain-Controller sind Fügt die „AWS Delegierten Serveradministratoren“ als Mitglied der GruppeBUILTIN\ Administrators hinzu.
    AWS Reservierte Richtlinie: Benutzer AWS Reservierte Benutzerkonten Legt die empfohlenen Sicherheitseinstellungen für alle Benutzerkonten in der AWS reservierten Organisationseinheit fest.
    AWS Verwaltete Active Directory-Richtlinie Alle Domain-Controller Legt die empfohlenen Sicherheitseinstellungen auf allen Domain-Controllern fest.
    TimePolicyNT5DS Alle Controller, die keine PDCe Domänencontroller sind Legt die Zeitrichtlinie für alle PDCe Nicht-Domänencontroller fest, dass sie Windows Time (NT5DS) verwenden.
    TimePolicyPDC Der PDCe Domänencontroller Legt die Zeitrichtlinie des PDCe Domänencontrollers auf die Verwendung des Network Time Protocol (NTP) fest.
    Standardrichtlinie für Domain-Controller Nicht verwendet Die AWS verwaltete Active Directory-Richtlinie, die während der Domänenerstellung bereitgestellt wird, wird stattdessen verwendet.

    Wenn Sie die Einstellungen der einzelnen Instanzen sehen möchtenGPO, können Sie sie von einer Windows-Instanz aus aufrufen, bei der die Gruppenrichtlinien-Verwaltungskonsole (GPMC) aktiviert ist.

  • Erstellt die folgenden lokalen Standardkonten für die AWS verwaltete Microsoft AD-Verwaltung:

    Wichtig

    Achten Sie darauf, das Admin-Passwort zu speichern. AWS Directory Service speichert dieses Passwort nicht und es kann nicht abgerufen werden. Sie können ein Passwort jedoch von der AWS Directory Service Konsole aus oder mithilfe von zurücksetzen ResetUserPasswordAPI.

    Admin.

    Der Administrator ist das Verzeichnisadministratorkonto, das bei der ersten Erstellung von AWS Managed Microsoft AD erstellt wurde. Sie geben ein Passwort für dieses Konto an, wenn Sie ein AWS verwaltetes Microsoft AD erstellen. Dieses Konto befindet sich unter der OU Benutzer (Beispiel: Corp > Benutzer). Sie verwenden dieses Konto zur Verwaltung Ihrer Active Directory in der AWS. Weitere Informationen finden Sie unter AWS Berechtigungen für verwaltete Microsoft AD-Administratorkonten.

    AWS_11111111111

    Jeder Kontoname, der mit einem AWS gefolgt von einem Unterstrich beginnt und sich unter AWS Reserved OU befindet, ist ein vom Service verwaltetes Konto. Dieses vom Service verwaltete Konto wird verwendet, AWS um mit dem zu interagieren Active Directory. Diese Konten werden erstellt, wenn AWS Directory Service Data aktiviert ist und jede neue AWS Anwendung autorisiert wird Active Directory. Auf diese Konten können nur AWS Dienste zugreifen.

    Passwort für das krbtgt-Konto

    Das krbtgt-Konto spielt eine wichtige Rolle bei den Kerberos-Ticketbörsen, die von Ihrem AWS Managed Microsoft AD verwendet werden. Das krbtgt-Konto ist ein spezielles Konto, das für die Ticketverschlüsselung (TGT) mit Kerberos-Tickets verwendet wird. Es spielt eine entscheidende Rolle für die Sicherheit des Kerberos-Authentifizierungsprotokolls. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

    AWS wechselt das krbtgt-Kontokennwort für Ihr AWS verwaltetes Microsoft AD automatisch zweimal alle 90 Tage. Zwischen den beiden aufeinanderfolgenden Rotationen liegt alle 90 Tage eine Wartezeit von 24 Stunden.

Für weitere Informationen über das Administratorkonto und andere Konten, die erstellt wurden von Active Directory, siehe Microsoft Dokumentation.