Introducción al AWS Microsoft AD gestionado - AWS Directory Service
AWS Requisitos previos de Microsoft AD gestionadoCrea tu AWS Microsoft AD gestionadoLo que se crea con tu AWS Microsoft AD gestionadoPermisos de la cuenta de administrador

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción al AWS Microsoft AD gestionado

AWS Managed Microsoft AD crea un entorno totalmente gestionado, Microsoft Active Directory en el Nube de AWS y está alimentado por Windows Servidor 2019 y funciona en los niveles funcionales de bosque y dominio R2 de 2012. Al crear un directorio con AWS Microsoft AD gestionado, AWS Directory Service crea dos controladores de dominio y agrega el DNS servicio en su nombre. Los controladores de dominio se crean en diferentes subredes de Amazon. VPC Esta redundancia ayuda a garantizar que su directorio permanezca accesible incluso si se produce un error. Si necesita más controladores de dominio, puede añadirlos posteriormente. Para obtener más información, consulte Implementación de controladores de dominio adicionales.

AWS Requisitos previos de Microsoft AD gestionado

Para crear un AWS Microsoft AD gestionado Active Directory, necesitas un Amazon VPC con lo siguiente:

  • Dos subredes como mínimo. Cada una de las subredes debe estar en una zona de disponibilidad diferente.

  • El hardware VPC debe tener una tenencia predeterminada.

  • No se puede crear un AWS Administró Microsoft AD VPC utilizando direcciones en el espacio de direcciones 198.18.0.0/15.

Si necesita integrar su AWS Dominio de Microsoft AD administrado con un entorno local existente Active Directory dominio, debe tener los niveles funcionales de bosque y dominio de su dominio local configurados en Windows Server 2003 o superior.

AWS Directory Service utiliza una VPC estructura doble. Las EC2 instancias que componen su directorio se ejecutan fuera de su AWS cuenta y son administradas por AWS. Tienen dos adaptadores de red ETH0 yETH1. ETH0es el adaptador de administración y existe fuera de su cuenta. ETH1se crea dentro de su cuenta.

El rango de IP de administración de la red ETH 0 de su directorio es 198.18.0.0/15.

AWS IAM Identity Center Requisitos previos 

Si planea usar Identity Center con IAM AWS Microsoft AD administrado, debe asegurarse de que se cumpla lo siguiente:

  • Sus AWS El directorio administrado de Microsoft AD está configurado en su AWS cuenta de administración de la organización.

  • Su instancia de IAM Identity Center se encuentra en la misma región en la que AWS El directorio administrado de Microsoft AD está configurado.

Para obtener más información, consulte los requisitos previos del Centro de IAM Identidad en la AWS IAM Identity Center Guía del usuario.

Requisitos previos de la autenticación multifactor

Para admitir la autenticación multifactorial con su AWS Directorio administrado de Microsoft AD, debe configurar su servidor de servicio de usuario telefónico de autenticación remota (RADIUS) local o basado en la nube de la siguiente manera para que pueda aceptar solicitudes de su AWS Directorio de Microsoft AD administrado en AWS.

  1. En su RADIUS servidor, cree dos RADIUS clientes que representen a ambos AWS Controladores de dominio Microsoft AD administrados (DCs) en AWS. Debe configurar ambos clientes mediante los siguientes parámetros comunes (el RADIUS servidor puede variar):

    • Dirección (DNSo IP): es la DNS dirección de uno de los AWS Microsoft AD gestionadoDCs. Ambas DNS direcciones se encuentran en AWS Directory Service Console en la página de detalles del AWS Directorio administrado de Microsoft AD en el que planea usarMFA. Las DNS direcciones que se muestran representan las direcciones IP de ambos AWS Microsoft AD gestionado DCs que utiliza AWS.

      nota

      Si su RADIUS servidor admite DNS direcciones, debe crear solo una configuración de RADIUS cliente. De lo contrario, debe crear una configuración de RADIUS cliente para cada AWS Microsoft AD DC gestionado.

    • Número de puerto: configure el número de puerto para el que el RADIUS servidor acepta las conexiones de los RADIUS clientes. El RADIUS puerto estándar es 1812.

    • Secreto compartido: escriba o genere un secreto compartido que el RADIUS servidor utilizará para conectarse con RADIUS los clientes.

    • Protocolo: puede que necesite configurar el protocolo de autenticación entre AWS Administró Microsoft AD DCs y el RADIUS servidor. Los protocolos compatibles son PAP CHAP MS- CHAPv1 y MS-CHAPv2. Se CHAPv2 recomienda el MS- porque proporciona la mayor seguridad de las tres opciones.

    • Nombre de la aplicación: puede ser opcional en algunos RADIUS servidores y, por lo general, identifica la aplicación en los mensajes o informes.

  2. Configure su red actual para permitir el tráfico entrante de los RADIUS clientes (AWS DCsDNSDirecciones Microsoft AD administradas (consulte el paso 1) al puerto de su RADIUS servidor.

  3. Añade una regla al grupo de EC2 seguridad de Amazon en tu AWS Dominio de Microsoft AD administrado que permite el tráfico entrante desde la DNS dirección del RADIUS servidor y el número de puerto definidos anteriormente. Para obtener más información, consulte Agregar reglas a un grupo de seguridad en la Guía del EC2 usuario.

Para obtener más información sobre el uso AWS Microsoft AD gestionado conMFA, consulteHabilite la autenticación multifactorial para Microsoft AWS AD administrado.

Crea tu AWS Microsoft AD gestionado

Para crear una nueva AWS Microsoft AD gestionado Active Directory, lleve a cabo los siguientes pasos. Antes de comenzar este procedimiento, asegúrese de haber completado los requisitos previos que se indican en AWS Requisitos previos de Microsoft AD gestionado.

Para crear un AWS Microsoft AD gestionado

  1. En la AWS Directory Service panel de navegación de la consola, elija Directorios y, a continuación, elija Configurar directorio.

  2. En la página Seleccionar el tipo de directorio, elija AWS Administró Microsoft AD y, a continuación, seleccione Siguiente.

  3. En la página Enter directory information (Especifique la información del directorio), facilite la siguiente información:

    Edición

    Elija entre la edición estándar o la edición empresarial de AWS Microsoft AD gestionado. Para obtener más información sobre las ediciones, consulte AWS Directory Service para Microsoft Active Directory.

    DNSNombre del directorio

    El nombre completo del directorio, como por ejemplo corp.example.com.

    nota

    Si planea usar Amazon Route 53 paraDNS, el nombre de dominio de su AWS El Microsoft AD administrado debe ser diferente de su nombre de dominio de Route 53. DNSpueden producirse problemas de resolución si Route 53 y AWS Los Microsoft AD gestionados comparten el mismo nombre de dominio.

    BIOSNombre de la red del directorio

    El nombre abreviado del directorio, como CORP.

    Descripción del directorio

    Descripción opcional del directorio.

    Contraseña de administrador

    Contraseña del administrador del directorio. Al crear el directorio, se crea también una cuenta de administrador con el nombre de usuario Admin y esta contraseña.

    La contraseña no puede incluir la palabra “admin”.

    La contraseña del administrador del directorio distingue entre mayúsculas y minúsculas y debe tener 8 caracteres como mínimo y 64 como máximo. También debe contener al menos un carácter de tres de las siguientes categorías:

    • Letras minúsculas (a-z)

    • Letras mayúsculas (A-Z)

    • Números (0-9)

    • Caracteres no alfanuméricos (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirmar contraseña

    Vuelva a escribir la contraseña de administrador.

    (Opcional) Administración de usuarios y grupos

    Para habilitar AWS Administración gestionada de usuarios y grupos de Microsoft AD desde AWS Management Console, seleccione Administrar la administración de usuarios y grupos en la AWS Management Console. Para obtener más información sobre cómo utilizar la administración de usuarios y grupos, consulteAdministre usuarios y grupos con AWS Management Console.

  4. En la página Elegir VPC subredes, proporcione la siguiente información y, a continuación, seleccione Siguiente.

    VPC

    El VPC para el directorio.

    Subredes

    Elija las subredes de los controladores de dominio. Las dos subredes deben estar en diferentes zonas de disponibilidad.

  5. En la página Review & create (Revisar y crear), revise la información del directorio y haga los cambios que sean necesarios. Cuando la información sea correcta, seleccione Create directory (Crear directorio). Se tarda entre 20 y 40 minutos en crear el directorio. Una vez creado, el valor Status cambia a Active.

Lo que se crea con tu AWS Microsoft AD gestionado

Al crear un Active Directory with AWS Microsoft AD gestionado, AWS Directory Service realiza las siguientes tareas en su nombre:

  • Crea y asocia automáticamente una elastic network interface (ENI) a cada uno de los controladores de dominio. Cada uno de ENIs ellos es esencial para la conectividad entre su VPC y AWS Directory Service controladores de dominio y nunca deben eliminarse. Puede identificar todas las interfaces de red reservadas para su uso con AWS Directory Service mediante la descripción:»AWS creó una interfaz de red para el directorio directorio-id». Para obtener más información, consulte Elastic Network Interfaces en la Guía del EC2 usuario de Amazon. El DNS servidor predeterminado del AWS Microsoft AD gestionado Active Directory es el VPC DNS servidor de Classless Inter-Domain Routing (CIDR) +2. Para obtener más información, consulta Amazon DNS server en la Guía del VPC usuario de Amazon.

    nota

    De forma predeterminada, los controladores de dominio se implementan en dos zonas de disponibilidad de una región y se conectan a Amazon VPC (VPC). Las copias de seguridad se realizan automáticamente una vez al día y los volúmenes de Amazon EBS (EBS) se cifran para garantizar la seguridad de los datos en reposo. Los controladores de dominio que tienen errores se sustituyen automáticamente en la misma zona de disponibilidad con la misma dirección IP y se puede llevar a cabo una recuperación de desastres completa con la última copia de seguridad.

  • Disposiciones Active Directory VPCutilizando dos controladores de dominio para garantizar la tolerancia a errores y la alta disponibilidad. Se pueden aprovisionar más controladores de dominio para mayor resiliencia y rendimiento después de que el directorio se haya creado correctamente y esté activo. Para obtener más información, consulte Implementación de controladores de dominio adicionales.

    nota

    AWS no permite la instalación de agentes de monitorización en AWS Controladores de dominio gestionados de Microsoft AD.

  • Crea un AWS grupo de seguridad que establece las reglas de red para el tráfico que entra y sale de los controladores de dominio. La regla de salida predeterminada permite todo el tráfico ENIs o las instancias asociadas a la creada AWS Grupo de seguridad. Las reglas de entrada predeterminadas solo permiten el tráfico a través de los puertos requeridos por Active Directory desde cualquier fuente (0.0.0.0/0). Las reglas 0.0.0.0/0 no introducen vulnerabilidades de seguridad, ya que el tráfico a los controladores de dominio se limita al tráfico procedente de AmazonVPC, de otras redes interconectadas o de redes a las VPCs que te hayas conectado mediante AWS Direct Connect, AWS Transit Gateway o red privada virtual. Para mayor seguridad, las ENIs que se crean no tienen Elastic IPs adjunto y usted no tiene permiso para adjuntarles una IP elásticaENIs. Por lo tanto, el único tráfico entrante que puede comunicarse con su AWS Microsoft AD administrado es tráfico local VPC y VPC enrutado. Tenga mucho cuidado al intentar cambiar estas reglas, ya que podría perder la capacidad de comunicarse con los controladores de dominio. Para obtener más información, consulte Mejores prácticas para Microsoft AD AWS administrado. Los siguientes ejemplos de AWS Las reglas de los grupos de seguridad se crean de forma predeterminada:

    Reglas entrantes

    Protocolo Intervalo de puertos Origen Tipo de tráfico Uso de Active Directory
    ICMP N/A 0.0.0.0/0 Ping LDAPKeep Alive, DFS
    TCP & UDP 53 0.0.0.0/0 DNS Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza
    TCP & UDP 88 0.0.0.0/0 Kerberos Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque
    TCP & UDP 389 0.0.0.0/0 LDAP Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza
    TCP & UDP 445 0.0.0.0/0 SMB / CIFS Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    TCP & UDP 464 0.0.0.0/0 Cambiar/establecer contraseña de Kerberos Replicación, autenticación de usuarios y equipos, relaciones de confianza
    TCP 135 0.0.0.0/0 Replicación RPC, EPM
    TCP 636 0.0.0.0/0 LDAP SSL Directorio, replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    TCP 1024 - 65535 0.0.0.0/0 RPC Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    TCP 3268 - 3269 0.0.0.0/0 LDAPGC y LDAP GC SSL Directorio, replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    UDP 123 0.0.0.0/0 Hora de Windows Hora de Windows, relaciones de confianza
    UDP 138 0.0.0.0/0 DFSN & NetLogon DFS, política de grupo
    Todos Todos sg-################## All Traffic

    Reglas salientes

    Protocolo Rango de puerto Destino Tipo de tráfico Uso de Active Directory
    Todos Todos sg-################## All Traffic

  • Crea las siguientes tres unidades organizativas (OUs) en la raíz del dominio:

    Nombre de OU Descripción

    AWS Grupos delegados

    		Almacena todos los grupos que puede usar para delegar AWS permisos específicos para sus usuarios.
    AWS Reserved Almacena todos AWS gestión de cuentas específicas.
    <su-nombre-de-dominio> El nombre de esta unidad organizativa se basa en el BIOS nombre de red que escribió al crear el directorio. Si no especificó un BIOS nombre de red, se utilizará de forma predeterminada la primera parte del DNS nombre del directorio (por ejemplo, en el caso de corp.example.com, el BIOS nombre de red sería corp). Esta unidad organizativa es propiedad de AWS y contiene todos sus AWS objetos de directorio relacionados, sobre los que tiene el control total. De forma predeterminada, OUs hay dos elementos secundarios en esta unidad organizativa: ordenadores y usuarios. Por ejemplo:

    • Corp

      • Computers

      • Usuarios

  • Crea los siguientes grupos en AWS Organización organizativa de grupos delegados:

    Nombre del grupo Descripción
    AWS Operadores de cuentas delegadas Los miembros de este grupo de seguridad tienen una capacidad de administración de cuentas limitada, por ejemplo, a restablecer contraseñas

    AWS Administradores de activación delegados basados en Active Directory

    Los miembros de este grupo de seguridad pueden crear Active Directory objetos de activación de licencias por volumen, que permiten a las empresas activar ordenadores mediante una conexión a su dominio.
    AWS Agregar estaciones de trabajo delegadas a los usuarios del dominio Los miembros de este grupo de seguridad puede unir 10 equipos a un dominio.
    AWS Administradores delegados Los miembros de este grupo de seguridad pueden administrar AWS Administra Microsoft AD, tiene el control total de todos los objetos de la unidad organizativa y puede administrar los grupos contenidos en el AWS Organización organizativa de grupos delegados.
    AWS Los delegados pueden autenticar objetos Los miembros de este grupo de seguridad tienen la posibilidad de autenticarse en los recursos informáticos del AWS Unidad organizativa reservada (solo necesaria para objetos locales con confianza habilitada para la autenticación selectiva).
    AWS La persona delegada puede autenticarse en los controladores de dominio Los miembros de este grupo de seguridad tienen la capacidad de autenticarse en los recursos del equipo en la unidad organizativa de controladores de dominio (solo se necesitan para objetos locales con relaciones de confianza habilitadas para autenticación selectiva).

    AWS Administradores delegados de por vida de los objetos eliminados

    Los miembros de este grupo de seguridad pueden modificar el DeletedObjectLifetime objeto MSDS, que define cuánto tiempo estará disponible un objeto eliminado para su recuperación en la papelera de reciclaje de AD.
    AWS Administradores delegados de sistemas de archivos distribuidos Los miembros de este grupo de seguridad pueden agregar y quitarFRS, DFS -R y espacios de DFS nombres.
    AWS Administradores de sistemas de nombres de dominio delegados Los miembros de este grupo de seguridad pueden administrar Active Directory de forma integradaDNS.
    AWS Administradores delegados del protocolo de configuración dinámica de host Los miembros de este grupo de seguridad pueden autorizar Windows DHCPservidores de la empresa.
    AWS Administradores de autoridades de certificación empresariales delegadas Los miembros de este grupo de seguridad pueden implementar y administrar Microsoft Infraestructura de autoridad de certificación empresarial.
    AWS Administradores delegados de políticas de contraseñas detalladas Los miembros de este grupo de seguridad pueden modificar las políticas de contraseñas específicas creadas previamente.
    AWS Administradores delegados FSx Los miembros de este grupo de seguridad tienen la posibilidad de gestionar FSx los recursos de Amazon.
    AWS Administradores de políticas de grupo delegados Los miembros de este grupo de seguridad pueden realizar tareas de administración de las políticas de grupo (crear, editar, eliminar, vincular, etc.).
    AWS Administradores delegados de la delegación de Kerberos Los miembros de este grupo de seguridad pueden habilitar la delegación en los objetos de equipos y cuentas de usuario.
    AWS Administradores de cuentas de servicios gestionados delegados Los miembros de este grupo de seguridad pueden crear y eliminar cuentas de servicio administradas.
    AWS Dispositivos delegados que no cumplen con los requisitos de NPRC MS Los miembros de este grupo de seguridad no podrán exigir comunicaciones por canales seguros con los controladores de dominio. Este grupo es para cuentas de equipos.
    AWS Administradores del servicio de acceso remoto delegado Los miembros de este grupo de seguridad pueden agregar y quitar RAS servidores del grupo RAS y IAS Servidores.
    AWS Delegated Replicate Directory cambia de administrador Los miembros de este grupo de seguridad pueden sincronizar la información del perfil de Active Directory con SharePoint el servidor.
    AWS Administradores de servidores delegados Los miembros de este grupo de seguridad se incluyen en el grupo de administradores locales en todos los equipos unidos al dominio.
    AWS Administradores de sitios y servicios delegados Los miembros de este grupo de seguridad pueden cambiar el nombre del objeto Default-First-Site-Name en los sitios y servicios de Active Directory.
    AWS Administradores de administración de sistemas delegados Los miembros de este grupo de seguridad pueden crear y administrar objetos en el contenedor de administración del sistema.
    AWS Administradores de licencias delegados de Terminal Server Los miembros de este grupo de seguridad pueden agregar y eliminar servidores de licencias de Terminal Server del grupo de servidores de licencias de Terminal Server.
    AWS Administradores de sufijos de nombre principal de usuario delegado Los miembros de este grupo de seguridad pueden agregar y eliminar sufijos de nombre principal de usuario.

  • Crea y aplica los siguientes objetos de política de grupo ()GPOs:

    nota

    No tiene permisos para eliminarlos, modificarlos o desvincularlosGPOs. Esto es por diseño, ya que están reservados para AWS usar. Puede vincularlos a los OUs que controle si es necesario.

    Nombre de política de grupo Aplica a Descripción
    Política de dominio predeterminada Dominio Incluye la contraseña de dominio y las políticas Kerberos.
    ServerAdmins Todas las cuentas de equipo que no sean controladores de dominios Añade el 'AWS Administradores de servidores delegados como miembro del grupoBUILTIN\ Administradores.
    AWS Política reservada: usuario AWS Cuentas de usuario reservadas Establece la configuración de seguridad recomendada en todas las cuentas de usuario del AWS OU reservada.
    AWS Política de Active Directory administrada Todos los controladores de dominio Establece la configuración de seguridad recomendada en todos los controladores de dominio.
    TimePolicyNT5DS Todos los controladores que no son PDCe de dominio Establece la política horaria de todos los controladores que no son de PDCe dominio para usar Windows Time (NT5DS).
    TimePolicyPDC El controlador PDCe de dominio Establece la política horaria del controlador de PDCe dominio para usar el Protocolo de hora de red (NTP).
    Política predeterminada de controladores de dominio No se utiliza Aprovisionado durante la creación del dominio, AWS En su lugar, se utiliza la política de Active Directory administrada.

    Si desea ver la configuración de cada una de ellasGPO, puede verla desde una instancia de Windows unida a un dominio que tenga habilitada la consola de administración de políticas de grupo (GPMC).

  • Crea las siguientes cuentas locales predeterminadas para AWS Administración gestionada de Microsoft AD:

    importante

    Asegúrese de guardar la contraseña de administrador. AWS Directory Service no almacena esta contraseña y no se puede recuperar. Sin embargo, puede restablecer una contraseña desde AWS Directory Service consola o mediante el ResetUserPasswordAPI.

    Administrador

    El administrador es la cuenta de administrador del directorio que se creó cuando el AWS Primero se crea Microsoft AD administrado. Usted proporciona una contraseña para esta cuenta al crear una AWS Microsoft AD gestionado. Esta cuenta se encuentra en la unidad organizativa Users (por ejemplo, Corp > Users). Utiliza esta cuenta para administrar su Active Directory en el AWS. Para obtener más información, consultePermisos para la cuenta de administrador.

    AWS_11111111111

    Cualquier nombre de cuenta que comience por AWS seguido de un guión bajo y ubicado en AWS Reserved OU es una cuenta gestionada por un servicio. Esta cuenta gestionada por el servicio es utilizada por AWS para interactuar con el Active Directory. Estas cuentas se crean cuando AWS Los datos del servicio de directorio están habilitados y con cada nueva AWS la aplicación está autorizada el Active Directory. Solo pueden acceder a estas cuentas AWS servicios.

Para obtener más información sobre la cuenta de administrador y otras cuentas creadas por Active Directory, consulte Microsoft documentación.

Mostrar másMostrar menos

Permisos para la cuenta de administrador

Al crear un AWS Directory Service para el directorio Microsoft Active Directory, AWS crea una unidad organizativa (OU) para almacenar todos AWS grupos y cuentas relacionados. Para obtener más información acerca de esta unidad organizativa, consulte Lo que se crea con tu AWS Microsoft AD gestionado. Esto incluye la cuenta Admin. La cuenta Admin tiene permisos para llevar a cabo las siguientes actividades administrativas comunes en la unidad organizativa:

La cuenta de administrador también tiene derechos para realizar las siguientes actividades en todo el dominio:

  • Administre DNS las configuraciones (agregue, elimine o actualice registros, zonas y reenviadores)

  • Ver los registros de DNS eventos

  • Ver logs de eventos de seguridad

Solo las acciones que se indican aquí se pueden realizar en la cuenta Admin. La cuenta Admin también carece de permisos para cualquier acción relacionada con el directorio fuera de su unidad organizativa específica, como en la unidad organizativa principal.

importante

AWS Los administradores de dominio tienen acceso administrativo completo a todos los dominios alojados en AWS. Consulte su acuerdo con AWS y el AWS protección de datos FAQ para obtener más información sobre cómo AWS gestiona el contenido, incluida la información del directorio, que almacenas en AWS sistemas.

nota

Le recomendamos que no elimine ni cambie el nombre de esta cuenta. Si ya no desea utilizar la cuenta, le recomendamos que establezca una contraseña larga (64 caracteres aleatorios, como máximo) y, a continuación, deshabilite la cuenta.

Cuentas con privilegios de administrador de la empresa y administrador del dominio

AWS cambia automáticamente la contraseña de administrador integrada a una contraseña aleatoria cada 90 días. Cada vez que se solicite la contraseña de administrador integrada para uso humano, un AWS el ticket se crea y se registra con AWS Directory Service equipo. Las credenciales de la cuenta se cifran y se gestionan a través de canales seguros. Además, las credenciales de la cuenta de administrador solo las puede solicitar el AWS Directory Service equipo de administración.

Para realizar la gestión operativa de su directorio, AWS tiene el control exclusivo de las cuentas con privilegios de administrador empresarial y administrador de dominio. Esto incluye el control exclusivo de la cuenta de administrador de Active Directory. AWS protege esta cuenta automatizando la administración de contraseñas mediante el uso de una bóveda de contraseñas. Durante la rotación automática de la contraseña de administrador, AWS crea una cuenta de usuario temporal y le otorga privilegios de administrador de dominio. Esta cuenta temporal se usa como respaldo en caso de que se produzca un error de rotación en la cuenta del administrador. Después AWS rota correctamente la contraseña de administrador, AWS elimina la cuenta de administrador temporal.

Normalmente AWS opera el directorio completamente a través de la automatización. En el caso de que un proceso de automatización no pueda resolver un problema operativo, AWS es posible que necesite que un ingeniero de soporte inicie sesión en su controlador de dominio (DC) para realizar el diagnóstico. En estos raros casos, AWS implementa un sistema de solicitud/notificación para conceder el acceso. En este proceso, AWS la automatización crea una cuenta de usuario por tiempo limitado en su directorio que tiene permisos de administrador de dominio. AWS asocia la cuenta de usuario al ingeniero asignado para trabajar en su directorio. AWS registra esta asociación en nuestro sistema de registro y proporciona al ingeniero las credenciales que debe utilizar. Todas las acciones realizadas por el ingeniero se registran en los registros de eventos de Windows. Cuando transcurre el tiempo asignado, la automatización elimina la cuenta de usuario.

Puede monitorizar las acciones administrativas de la cuenta mediante la característica de reenvío de registros del directorio. Esta función le permite reenviar los eventos de AD Security a su CloudWatch sistema, donde puede implementar soluciones de monitoreo. Para obtener más información, consulte Habilitar el reenvío CloudWatch de registros de Amazon Logs para AWS Managed Microsoft AD.

Todos los eventos de seguridad IDs 4624, 4672 y 4648 se registran cuando alguien inicia sesión en un DC de forma interactiva. Puede ver el registro de eventos de seguridad de Windows de cada DC mediante el Visor de eventos de Microsoft Management Console (MMC) desde un equipo Windows unido a un dominio. También puede Habilitar el reenvío CloudWatch de registros de Amazon Logs para AWS Managed Microsoft AD enviar todos los registros de eventos de seguridad a CloudWatch los registros de su cuenta.

Es posible que, de vez en cuando, veas usuarios creados y eliminados en el AWS OU reservada. AWS es responsable de la administración y la seguridad de todos los objetos de esta unidad organizativa y de cualquier otra unidad organizativa o contenedor en los que no hayamos delegado permisos de acceso y administración. Es posible que vea las creaciones y eliminaciones en esa unidad organizativa. Esto se debe a que AWS Directory Service utiliza la automatización para rotar la contraseña del administrador del dominio de forma regular. Cuando se rota la contraseña, se crea una copia de seguridad en caso de que se produzca un error en la rotación. Una vez que la rotación se lleva a cabo correctamente, la cuenta de respaldo se elimina automáticamente. Además, en el raro caso de que se necesite un acceso interactivo DCs para solucionar problemas, se crea una cuenta de usuario temporal para AWS Directory Service ingeniero para usar. Cuando el ingeniero complete su trabajo, se eliminará la cuenta de usuario temporal. Tenga en cuenta que cada vez que se solicitan credenciales interactivas para un directorio, AWS Directory Service se notifica al equipo de administración.