¿Qué se crea con AWS Managed Microsoft AD? - AWS Directory Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Qué se crea con AWS Managed Microsoft AD?

Al crear un Active Directory con Microsoft AD AWS administrado, AWS Directory Service realiza las siguientes tareas en su nombre:

  • Crea y asocia automáticamente una interfaz de red elástica (ENI) a cada uno de sus controladores de dominio. Cada uno de ENIs ellos es esencial para la conectividad entre la VPC y los controladores de AWS Directory Service dominio y nunca debe eliminarse. Puede identificar todas las interfaces de red reservadas para su uso AWS Directory Service mediante la descripción: «interfaz de red AWS creada para el identificador del directorio». Para obtener más información, consulte Elastic Network Interfaces en la Guía del EC2 usuario de Amazon. El servidor DNS predeterminado del Microsoft AD AWS administrado Active Directory es el servidor DNS de VPC en Classless Inter-Domain Routing (CIDR) +2. Para obtener más información, consulte Servidor DNS de Amazon en la Guía del usuario de Amazon VPC.

    nota

    Los controladores de dominio se implementan de manera predeterminada en dos zonas de disponibilidad dentro de una región y se conectan a la Amazon VPC (Virtual Private Cloud). Las copias de seguridad se hacen en forma automática una vez al día y los volúmenes de Amazon EBS (EBS) se cifran para garantizar la seguridad de los datos en reposo. Los controladores de dominio que tienen errores se sustituyen automáticamente en la misma zona de disponibilidad con la misma dirección IP y se puede llevar a cabo una recuperación de desastres completa con la última copia de seguridad.

  • Disposiciones Active Directory dentro de su VPC mediante dos controladores de dominio para ofrecer tolerancia a errores y alta disponibilidad. Se pueden aprovisionar más controladores de dominio para mayor resiliencia y rendimiento después de que el directorio se haya creado correctamente y esté activo. Para obtener más información, consulte Implementación de controladores de dominio adicionales para su Microsoft AD AWS administrado.

    nota

    AWS no permite la instalación de agentes de supervisión en los controladores de dominio AWS gestionados de Microsoft AD.

  • Crea un grupo AWS de seguridad sg-1234567890abcdef0 que establece las reglas de red para el tráfico que entra y sale de los controladores de dominio. La regla de salida predeterminada permite todo el tráfico ENIs o las instancias asociadas al grupo de AWS seguridad creado. Las reglas de entrada predeterminadas solo permiten el tráfico a través de los puertos que son requeridos por Active Directory desde el CIDR de su VPC para su AWS Microsoft AD gestionado. Estas reglas no introducen vulnerabilidades de seguridad, ya que el tráfico a los controladores de dominio se limita al tráfico procedente de su VPC, de otras redes interconectadas o de redes a las que se VPCs haya conectado mediante AWS Transit AWS Direct Connect Gateway o Virtual Private Network. Para mayor seguridad, las ENIs que se crean no tienen Elastic IPs adjunto y usted no tiene permiso para adjuntarles una IP elástica. ENIs Por lo tanto, el único tráfico entrante que puede comunicarse con su Microsoft AD AWS administrado es el tráfico de VPC local y enrutado por VPC. Puede cambiar las reglas del grupo de seguridad AWS . Tenga mucho cuidado al intentar cambiar estas reglas, ya que podría perder la capacidad de comunicarse con los controladores de dominio. Para obtener más información, consulte AWS Mejores prácticas administradas de Microsoft AD y Mejora de la configuración de seguridad de la red AWS gestionada de Microsoft AD.

    • En un Windows Los clientes suelen comunicarse a través del bloque de mensajes del servidor (SMB) o del puerto 445. Este protocolo facilita diversas acciones, como el uso compartido de archivos e impresoras y la comunicación general por red. Verás el tráfico de clientes en el puerto 445 hacia las interfaces de administración de tus controladores de dominio AWS gestionados de Microsoft AD.

      Este tráfico se produce cuando los clientes SMB utilizan la resolución de nombres de DNS (puerto 53) y NetBIOS (puerto 138) para localizar los recursos del dominio AWS administrado de Microsoft AD. Estos clientes se dirigen a cualquier interfaz disponible en los controladores de dominio al localizar los recursos del dominio. Este comportamiento es de esperar y suele producirse en entornos con varios adaptadores de red y en los que SMB Multichannel permite a los clientes establecer conexiones a través de diferentes interfaces para mejorar el rendimiento y la redundancia.

    De forma predeterminada, se crean las siguientes reglas de grupo de AWS seguridad:

    Reglas entrantes

    Protocolo Intervalo de puertos Origen Tipo de tráfico Uso de Active Directory
    ICMP N/A AWS CIDR de IPv4 VPC de Microsoft AD gestionado Ping LDAP Keep Alive, DFS
    TCP y UDP 53 AWS CIDR de IPv4 VPC de Microsoft AD gestionado DNS Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza
    TCP y UDP 88 AWS CIDR de IPv4 VPC de Microsoft AD gestionado Kerberos Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque
    TCP y UDP 389 AWS CIDR de IPv4 VPC de Microsoft AD gestionado LDAP Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza
    TCP y UDP 445 AWS CIDR de IPv4 VPC de Microsoft AD gestionado SMB/CIFS Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    TCP y UDP 464 AWS CIDR de IPv4 VPC de Microsoft AD gestionado Cambiar/establecer contraseña de Kerberos Replicación, autenticación de usuarios y equipos, relaciones de confianza
    TCP 135 AWS CIDR de IPv4 VPC de Microsoft AD gestionado Replicación RPC, EPM
    TCP 636 AWS CIDR de IPv4 VPC de Microsoft AD gestionado LDAP SSL Directorio, replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    TCP 1024 - 65535 AWS CIDR de IPv4 VPC de Microsoft AD gestionado RPC Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    TCP 3268 - 3269 AWS CIDR de IPv4 VPC de Microsoft AD gestionado LDAP GC y LDAP GC SSL Directorio, replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    UDP 123 AWS CIDR de IPv4 VPC de Microsoft AD gestionado Hora de Windows Hora de Windows, relaciones de confianza
    UDP 138 AWS CIDR de IPv4 VPC de Microsoft AD gestionado DFSN Y NetLogon DFS, política de grupo
    Todos Todos AWS creó un grupo de seguridad para controladores de dominio () sg-1234567890abcdef0 All Traffic

    Reglas salientes

    Protocolo Rango de puerto Destino Tipo de tráfico Uso de Active Directory
    Todos Todos 0.0.0.0/0 All Traffic

  • Para obtener más información sobre los puertos y protocolos utilizados por Active Directory, consulte Descripción general del servicio y requisitos de puertos de red para Windows en Microsoft .

  • Crea una cuenta de administrador para el directorio con el nombre de usuario Admin y la contraseña especificada. Esta cuenta se encuentra en la unidad organizativa Users (por ejemplo, Corp > Users). Utiliza esta cuenta para administrar su directorio en la AWS nube. Para obtener más información, consulte AWS Permisos de cuentas administradas de Microsoft AD Administrator.

    importante

    Asegúrese de guardar esta contraseña. AWS Directory Service no almacena esta contraseña y no se puede recuperar. Sin embargo, puede restablecer una contraseña desde la AWS Directory Service consola o mediante la ResetUserPasswordAPI.

  • Crea las tres unidades organizativas siguientes (OUs) en la raíz del dominio:

    Nombre de OU Descripción

    AWS Grupos delegados

    		Almacena todos los grupos que puede usar para delegar permisos AWS específicos a sus usuarios.
    AWS Reservado Almacena todas las cuentas específicas de AWS administración.
    <su-nombre-de-dominio> El nombre de esta OU se basa en el nombre NetBIOS que escribió cuando creó el directorio. Si no especificó un nombre NetBIOS, este será de forma predeterminada la primera parte del nombre de DNS del directorio (por ejemplo, en el caso de corp.example.com, el nombre NetBIOS sería corp). Esta OU es propiedad de todos sus objetos de directorio AWS relacionados AWS y los contiene, sobre los que tiene el control total. De forma predeterminada OUs , en esta unidad organizativa hay dos elementos secundarios: ordenadores y usuarios. Por ejemplo:

    • Corp

      • Computers

      • Usuarios

  • Crea los siguientes grupos en la OU de grupos AWS delegados:

    Nombre del grupo Descripción
    AWS Operadores de cuentas delegadas Los miembros de este grupo de seguridad tienen una capacidad de administración de cuentas limitada, por ejemplo, a restablecer contraseñas

    AWS Administradores de activación delegados basados en Active Directory

    Los miembros de este grupo de seguridad pueden crear objetos de activación de licencias por volumen de Active Directory, lo que permite a las empresas activar equipos mediante una conexión con sus dominios.
    AWS Agregar estaciones de trabajo a los usuarios del dominio por delegación Los miembros de este grupo de seguridad puede unir 10 equipos a un dominio.
    AWS Administradores delegados Los miembros de este grupo de seguridad pueden administrar Microsoft AD AWS administrado, tener el control total de todos los objetos de la unidad organizativa y administrar los grupos contenidos en la unidad organizativa de grupos AWS delegados.
    AWS La persona delegada puede autenticar objetos Los miembros de este grupo de seguridad tienen la posibilidad de autenticarse en los recursos informáticos de la unidad organizativa AWS reservada (solo es necesaria para los objetos locales con fideicomisos habilitados para la autenticación selectiva).
    AWS La persona delegada puede autenticarse en los controladores de dominio Los miembros de este grupo de seguridad tienen la capacidad de autenticarse en los recursos del equipo en la unidad organizativa de controladores de dominio (solo se necesitan para objetos locales con relaciones de confianza habilitadas para autenticación selectiva).

    AWS Administradores delegados de por vida de los objetos eliminados

    Los miembros de este grupo de seguridad pueden modificar el DeletedObjectLifetime objeto MSDS, que define cuánto tiempo estará disponible un objeto eliminado para su recuperación de la papelera de reciclaje de AD.
    AWS Administradores delegados de sistemas de archivos distribuidos Los miembros de este grupo de seguridad pueden agregar y eliminar espacios de nombres FRS, DFS-R y DFS.
    AWS Administradores de sistemas de nombres de dominio delegados Los miembros de este grupo de seguridad pueden administrar el DNS integrado de Active Directory.
    AWS Administradores delegados del protocolo de configuración dinámica de host Los miembros de este grupo de seguridad pueden autorizar los servidores DHCP de Windows en la compañía.
    AWS Administradores de autoridades de certificación empresariales delegadas Los miembros de este grupo de seguridad pueden implementar y administrar la infraestructura de la entidad de certificación de empresa de Microsoft.
    AWS Administradores delegados de políticas de contraseñas detalladas Los miembros de este grupo de seguridad pueden modificar las políticas de contraseñas específicas creadas previamente.
    AWS Administradores delegados FSx Los miembros de este grupo de seguridad tienen la posibilidad de gestionar FSx los recursos de Amazon.
    AWS Administradores de políticas de grupo delegados Los miembros de este grupo de seguridad pueden realizar tareas de administración de las políticas de grupo (crear, editar, eliminar, vincular, etc.).
    AWS Administradores delegados de la delegación de Kerberos Los miembros de este grupo de seguridad pueden habilitar la delegación en los objetos de equipos y cuentas de usuario.
    AWS Administradores de cuentas de servicios gestionados delegados Los miembros de este grupo de seguridad pueden crear y eliminar cuentas de servicio administradas.
    AWS Dispositivos delegados que no cumplen con la normativa MS-NPRC Los miembros de este grupo de seguridad no podrán exigir comunicaciones por canales seguros con los controladores de dominio. Este grupo es para cuentas de equipos.
    AWS Administradores del servicio de acceso remoto delegado Los miembros de este grupo de seguridad pueden agregar y eliminar servidores RAS del grupo de servidores RAS e IAS.
    AWS Delegated Replicate Directory cambia de administrador Los miembros de este grupo de seguridad pueden sincronizar la información del perfil de Active Directory con SharePoint el servidor.
    AWS Administradores de servidores delegados Los miembros de este grupo de seguridad se incluyen en el grupo de administradores locales en todos los equipos unidos al dominio.
    AWS Administradores de sitios y servicios delegados Los miembros de este grupo de seguridad pueden cambiar el nombre del Default-First-Site-Name objeto en los sitios y servicios de Active Directory.
    AWS Administradores de administración de sistemas delegados Los miembros de este grupo de seguridad pueden crear y administrar objetos en el contenedor de administración del sistema.
    AWS Administradores de licencias delegados de Terminal Server Los miembros de este grupo de seguridad pueden agregar y eliminar servidores de licencias de Terminal Server del grupo de servidores de licencias de Terminal Server.
    AWS Administradores de sufijos de nombre principal de usuario delegado Los miembros de este grupo de seguridad pueden agregar y eliminar sufijos de nombre principal de usuario.
    nota

    Puede añadir a estos grupos AWS delegados.

  • Crea y aplica los siguientes objetos de política de grupo (GPOs):

    nota

    No tiene permisos para eliminarlos, modificarlos o desvincularlos GPOs. Esto se debe a su diseño, ya que están reservados para su AWS uso. Si es necesario, puede vincularlos a los OUs que controle.

    Nombre de política de grupo Aplica a Descripción
    Política de dominio predeterminada Dominio Incluye la contraseña de dominio y las políticas Kerberos.
    ServerAdmins Todas las cuentas de equipo que no sean controladores de dominios Añade los «administradores de servidores AWS delegados» como miembros del grupo BUILTIN\ Administrators.
    AWS Política reservada: usuario AWS Cuentas de usuario reservadas Establece la configuración de seguridad recomendada en todas las cuentas de usuario de la unidad organizativa AWS reservada.
    AWS Política de Active Directory administrada Todos los controladores de dominio Establece la configuración de seguridad recomendada en todos los controladores de dominio.
    TimePolicyNT5DS Todos los controladores que no son PDCe de dominio Establece la política horaria de todos los controladores que no son de PDCe dominio para usar Windows Time (NT5DS).
    TimePolicyPDC El controlador de PDCe dominio Establece la política horaria del controlador de PDCe dominio para usar el Protocolo de tiempo de red (NTP).
    Política predeterminada de controladores de dominio No se utiliza Aprovisionada durante la creación del dominio, la política de Active Directory AWS administrada se utiliza en su lugar.

    Si desea ver la configuración de cada GPO, puede hacerlo desde una instancia de Windows unida a un dominio con la Consola de administración de políticas de grupo (GPMC) habilitada.

  • Crea las siguientes cuentas locales predeterminadas para la administración AWS administrada de Microsoft AD:

    importante

    Asegúrese de guardar la contraseña de administrador. AWS Directory Service no almacena esta contraseña y no se puede recuperar. Sin embargo, puede restablecer una contraseña desde la AWS Directory Service consola o mediante la ResetUserPasswordAPI.

    Administrador

    El administrador es la cuenta de administrador de directorios que se creó cuando se creó por primera vez el Microsoft AD AWS administrado. Debe proporcionar una contraseña para esta cuenta cuando cree un AWS Managed Microsoft AD. Esta cuenta se encuentra en la unidad organizativa Users (por ejemplo, Corp > Users). Utiliza esta cuenta para administrar su Active Directory en el AWS. Para obtener más información, consulte AWS Permisos de cuentas administradas de Microsoft AD Administrator.

    AWS_11111111111

    Cualquier nombre de cuenta que comience AWS seguido de un guión bajo y esté ubicado en AWS Reserved OU es una cuenta administrada por el servicio. Esta cuenta gestionada por el servicio la utiliza para interactuar con el AWS Active Directory. Estas cuentas se crean cuando los datos de AWS Directory Service están habilitados y con cada nueva AWS aplicación autorizada en Active Directory. Solo los AWS servicios pueden acceder a estas cuentas.

    Contraseña de la cuenta krbtgt

    La cuenta krbtgt desempeña un papel importante en los intercambios de tickets de Kerberos utilizados por su AWS Microsoft AD administrado. La cuenta krbtgt es una cuenta especial que se utiliza para la encriptación del ticket de concesión de ticket (TGT) en Kerberos y desempeña un rol fundamental en la seguridad del protocolo de autenticación Kerberos. Para obtener más información, consulte la documentación de Microsoft.

    AWS rota automáticamente la contraseña de la cuenta krbtgt para su AWS Microsoft AD administrado dos veces cada 90 días. Hay un período de espera de 24 horas entre las dos rotaciones consecutivas cada 90 días.

Para obtener más información sobre la cuenta de administrador y otras cuentas creadas por Active Directory, consulte Microsoft documentación.