Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Qué se crea con su Microsoft AD AWS administrado Al crear un Active Directory con Microsoft AD AWS administrado, Directory Service realiza las siguientes tareas en su nombre: + Crea y asocia automáticamente una interfaz de red elástica (ENI) a cada uno de sus controladores de dominio. Cada uno de ENIs ellos es esencial para la conectividad entre la VPC y los controladores de Directory Service dominio y nunca debe eliminarse. Puede identificar todas las interfaces de red reservadas para su uso Directory Service mediante la descripción: «interfaz de red AWS creada para el identificador del *directorio*». Para obtener más información, consulte [Interfaces de redes elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) en la *Guía del usuario de Amazon EC2*. El servidor DNS predeterminado del Active Directory AWS administrado de Microsoft AD es el servidor DNS de la VPC en el enrutamiento entre dominios sin clase (CIDR) \$12. Para obtener más información, consulte [Servidor DNS de Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS) en la *Guía del usuario de Amazon VPC*. **nota** Los controladores de dominio se implementan de manera predeterminada en dos zonas de disponibilidad dentro de una región y se conectan a la Amazon VPC (Virtual Private Cloud). Las copias de seguridad se hacen en forma automática una vez al día y los volúmenes de Amazon EBS (EBS) se cifran para garantizar la seguridad de los datos en reposo. Los controladores de dominio que tienen errores se sustituyen automáticamente en la misma zona de disponibilidad con la misma dirección IP y se puede llevar a cabo una recuperación de desastres completa con la última copia de seguridad. + Aprovisiona Active Directory dentro de la VPC mediante dos controladores de dominio para tolerancia a errores y alta disponibilidad. Se pueden aprovisionar más controladores de dominio para mayor resiliencia y rendimiento después de que el directorio se haya creado correctamente y esté [activo](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html). Para obtener más información, consulte [Implementación de controladores de dominio adicionales para su Microsoft AD AWS administrado](ms_ad_deploy_additional_dcs.md). **nota** AWS no permite la instalación de agentes de supervisión en los controladores de dominio AWS gestionados de Microsoft AD. + Crea un [grupo AWS de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) *sg-1234567890abcdef0* que establece las reglas de red para el tráfico que entra y sale de los controladores de dominio. La regla de salida predeterminada permite que todo el tráfico llegue a todas las IPv4 direcciones. Las reglas de entrada predeterminadas solo permiten el tráfico a través de los puertos que Active Directory requiere desde el bloque IPv4 CIDR principal asociado al alojamiento de VPC para su Microsoft AD administrado AWS . Para mayor seguridad, las ENIs que se crean no tienen Elastic IPs adjunto y usted no tiene permiso para adjuntar una IP elástica a ellas. ENIs Por lo tanto, de forma predeterminada, el único tráfico entrante que puede comunicarse con su Microsoft AD AWS administrado es la VPC local. Puede cambiar las reglas del grupo de seguridad para permitir fuentes de tráfico adicionales, por ejemplo, desde otras que estén conectadas entre sí VPCs o CIDRs a las que se pueda acceder a través de una VPN. Tenga mucho cuidado al intentar cambiar estas reglas, ya que podría perder la capacidad de comunicarse con los controladores de dominio. Para obtener más información, consulte [AWS Mejores prácticas administradas de Microsoft AD](ms_ad_best_practices.md) y [Mejora de la configuración de seguridad de la red AWS gestionada de Microsoft AD](ms_ad_network_security.md). Puede usar [listas de prefijos]() para administrar sus bloques de CIDR dentro de las reglas del grupo de seguridad. Las listas de prefijos facilitan la configuración y administración de los grupos de seguridad y las tablas de enrutamiento. Puede consolidar varios bloques de CIDR con el mismo puerto y protocolos para escalar el tráfico de la red. + En un entorno de Windows, los clientes suelen comunicarse mediante el [bloque de mensajes del servidor (SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) o el puerto 445. Este protocolo facilita diversas acciones, como el uso compartido de archivos e impresoras y la comunicación general por red. Verá el tráfico de clientes en el puerto 445 hacia las interfaces de administración de sus controladores de dominio AWS gestionados de Microsoft AD. Este tráfico se produce cuando los clientes SMB dependen de la resolución de nombres de DNS (puerto 53) y NetBIOS (puerto 138) para localizar los recursos del dominio AWS administrado de Microsoft AD. Estos clientes se dirigen a cualquier interfaz disponible en los controladores de dominio al localizar los recursos del dominio. Este comportamiento es de esperar y suele producirse en entornos con varios adaptadores de red y en los que el [multicanal de SMB](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11)) permite a los clientes establecer conexiones a través de diferentes interfaces para mejorar el rendimiento y la redundancia. De forma predeterminada, se crean las siguientes reglas de grupo de AWS seguridad: **Reglas entrantes** **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **Reglas salientes** **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Para obtener más información acerca de los puertos y protocolos que utiliza Active Directory, consulte [Service overview and network port requirements for Windows](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports) en la documentación de Microsoft. + Crea una cuenta de administrador para el directorio con el nombre de usuario Admin y la contraseña especificada. Esta cuenta se encuentra en la Users OU (por ejemplo, Corp > Usuarios). Esta cuenta se utiliza para administrar su directorio en la nube de Nube de AWS. Para obtener más información, consulte [AWS Permisos gestionados de grupos y cuentas de administrador de Microsoft AD](ms_ad_getting_started_admin_account.md). **importante** Asegúrese de guardar esta contraseña. Directory Service no almacena esta contraseña y no se puede recuperar. Sin embargo, puede restablecer una contraseña desde la Directory Service consola o mediante la [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API. + Crea las tres unidades organizativas siguientes (OUs) en la raíz del dominio: **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Crea los siguientes grupos en la AWS Delegated Groups OU: **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **nota** También puede añadir a estos AWS Delegated Groups. + Crea y aplica los siguientes objetos de política de grupo (GPOs): **nota** No tiene permisos para eliminarlos, modificarlos o desvincularlos GPOs. Esto se debe a su diseño, ya que están reservados para su AWS uso. Si es necesario, puede vincularlos a los OUs que controle. **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) Si desea ver la configuración de cada GPO, puede hacerlo desde una instancia de Windows unida a un dominio con la [Consola de administración de políticas de grupo (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)) habilitada. + Crea lo siguiente default local accounts para la administración AWS administrada de Microsoft AD: **importante** Asegúrese de guardar la contraseña de administrador. Directory Service no almacena esta contraseña y no se puede recuperar. Sin embargo, [puede restablecer una contraseña desde la Directory Service consola](ms_ad_manage_users_groups_reset_password.md) o mediante la [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API. **Admin** AdminSe directory administrator account crea cuando se crea por primera vez el Microsoft AD AWS administrado. Debe proporcionar una contraseña para esta cuenta al crear un Microsoft AD AWS administrado. Esta cuenta se encuentra en la Users OU (por ejemplo, Corp > Usuarios). Se utiliza esta cuenta para administrar su Active Directory en la AWS. Para obtener más información, consulte [AWS Permisos gestionados de grupos y cuentas de administrador de Microsoft AD](ms_ad_getting_started_admin_account.md). **AWS*\$1*11111111111**** Cualquier nombre de cuenta que comience por AWS seguido de un carácter de subrayado y esté ubicado en AWS Reserved OU es una cuenta administrada por el servicio. Esta cuenta administrada por el servicio la utiliza AWS para interactuar con Active Directory. Estas cuentas se crean cuando los datos de AWS Directory Service están habilitados y con cada nueva AWS aplicación autorizada en Active Directory. Solo los AWS servicios pueden acceder a estas cuentas. **krbtgt account** krbtgt accountDesempeña un papel importante en los intercambios de billetes de Kerberos que utiliza su Microsoft AD AWS administrado. La krbtgt account es una cuenta especial que se utiliza para la encriptación del ticket de concesión de ticket (TGT) en Kerberos y desempeña un papel fundamental en la seguridad del protocolo de autenticación Kerberos. Para obtener más información, consulte la [documentación de Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account). AWS rota automáticamente la krbtgt account contraseña de su Microsoft AD AWS administrado dos veces cada 90 días. Hay un período de espera de 24 horas entre las dos rotaciones consecutivas cada 90 días. Para obtener más información sobre la cuenta de administrador y otras cuentas creadas por Active Directory, consulte la [documentación de Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts).