Ce qui est créé avec votre Microsoft AD AWS géré - AWS Directory Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ce qui est créé avec votre Microsoft AD AWS géré

Lorsque vous créez un Active Directory avec AWS Managed Microsoft AD, AWS Directory Service exécute les tâches suivantes en votre nom :

  • Crée et associe automatiquement une elastic network interface (ENI) à chacun de vos contrôleurs de domaine. Chacun d'entre ENIs eux est essentiel pour la connectivité entre vous VPC et les contrôleurs de AWS Directory Service domaine et ne doit jamais être supprimé. Vous pouvez identifier toutes les interfaces réseau réservées à l'utilisation AWS Directory Service par la description : « interface réseau AWS créée pour le répertoire directory-id ». Pour plus d'informations, consultez Elastic Network Interfaces dans le guide de EC2 l'utilisateur Amazon. Le DNS serveur par défaut de AWS Managed Microsoft AD Active Directory est le VPC DNS serveur situé à Classless Inter-Domain Routing (CIDR) +2. Pour plus d'informations, consultez le DNSserveur Amazon dans le guide de VPC l'utilisateur Amazon.

    Note

    Les contrôleurs de domaine sont déployés par défaut dans deux zones de disponibilité d'une région et connectés à votre Amazon VPC (VPC). Les sauvegardes sont effectuées automatiquement une fois par jour, et les volumes Amazon EBS (EBS) sont chiffrés pour garantir la sécurité des données au repos. Les contrôleurs de domaine qui échouent sont automatiquement remplacés dans la même zone de disponibilité à l'aide de la même adresse IP, et une reprise après sinistre complète peut être effectuée avec la dernière sauvegarde.

  • Dispositions Active Directory dans le cadre de votre VPC utilisation de deux contrôleurs de domaine pour la tolérance aux pannes et la haute disponibilité. Des contrôleurs de domaine supplémentaires peuvent être mis en service pour une résilience et des performances supérieures une fois que l'annuaire a été créé avec succès et qu'il est actif. Pour de plus amples informations, veuillez consulter Déploiement de contrôleurs de domaine supplémentaires pour votre Microsoft AD AWS géré.

    Note

    AWS n'autorise pas l'installation d'agents de surveillance sur les contrôleurs de domaine Microsoft AD AWS gérés.

  • Crée un groupe AWS de sécurité sg-1234567890abcdef0 qui établit des règles réseau pour le trafic entrant et sortant de vos contrôleurs de domaine. La règle de trafic sortant par défaut autorise tout le trafic ENIs ou toutes les instances attachés au groupe AWS de sécurité créé. Les règles entrantes par défaut autorisent uniquement le trafic via les ports requis par Active Directory depuis votre VPC CIDR pour votre AWS Managed Microsoft AD. Ces règles n'introduisent pas de failles de sécurité car le trafic vers les contrôleurs de domaine est limité au trafic provenant de votre VPC réseauVPCs, d'autres réseaux pairs ou de réseaux que vous avez connectés via AWS Direct Connect AWS Transit Gateway ou Virtual Private Network. Pour plus de sécurité, ENIs les fichiers créés ne sont pas IPs associés à Elastic et vous n'êtes pas autorisé à y associer une adresse IP élastiqueENIs. Par conséquent, le seul trafic entrant capable de communiquer avec votre Microsoft AD AWS géré est le trafic local VPC et le trafic VPC routé. Vous pouvez modifier les règles du groupe AWS de sécurité. Soyez extrêmement attentif si vous tentez de modifier ces règles, car vous risquez de ne plus pouvoir communiquer avec vos contrôleurs de domaine. Pour plus d’informations, consultez AWS Meilleures pratiques en matière de gestion de Microsoft AD et Amélioration de la configuration de sécurité de votre réseau AWS Managed Microsoft AD.

    • Dans un Windows environnement, les clients communiquent souvent via Server Message Block (SMB) ou le port 445. Ce protocole facilite diverses actions telles que le partage de fichiers et d'imprimantes et la communication réseau générale. Vous verrez le trafic des clients sur le port 445 vers les interfaces de gestion de vos contrôleurs de domaine Microsoft AD AWS gérés.

      Ce trafic se produit lorsque les SMB clients s'appuient sur la résolution de noms DNS BIOS (port 53) et Net (port 138) pour localiser les ressources de votre domaine Microsoft AD AWS géré. Ces clients sont dirigés vers n'importe quelle interface disponible sur les contrôleurs de domaine lors de la localisation des ressources du domaine. Ce comportement est normal et se produit souvent dans les environnements dotés de plusieurs adaptateurs réseau et dans lesquels le SMBmulticanal permet aux clients d'établir des connexions via différentes interfaces pour améliorer les performances et la redondance.

    Les règles AWS de groupe de sécurité suivantes sont créées par défaut :

    Règles entrantes

    Protocole Plage de ports Source Type de trafic Utilisation d'Active Directory
    ICMP N/A AWS Microsoft AD géré VPC IPv4 CIDR Ping LDAPRestez en vie, DFS
    TCP & UDP 53 AWS Microsoft AD géré VPC IPv4 CIDR DNS Authentification d'utilisateur et d'ordinateur, résolution de noms, approbations
    TCP & UDP 88 AWS Microsoft AD géré VPC IPv4 CIDR Kerberos Authentification d'utilisateur et d'ordinateur, approbations au niveau de la forêt
    TCP & UDP 389 AWS Microsoft AD géré VPC IPv4 CIDR LDAP Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations
    TCP & UDP 445 AWS Microsoft AD géré VPC IPv4 CIDR SMB / CIFS Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations
    TCP & UDP 464 AWS Microsoft AD géré VPC IPv4 CIDR Mot de passe Kerberos (modification/définition) Réplication, authentification d'utilisateur et d'ordinateur, approbations
    TCP 135 AWS Microsoft AD géré VPC IPv4 CIDR Réplication RPC, EPM
    TCP 636 AWS Microsoft AD géré VPC IPv4 CIDR LDAP SSL Directory, réplication, stratégie d'authentification d'utilisateur et d'ordinateur, approbations
    TCP 1024-65535 AWS Microsoft AD géré VPC IPv4 CIDR RPC Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations
    TCP 3268 ‑ 3269 AWS Microsoft AD géré VPC IPv4 CIDR LDAPGC ET LDAP GC SSL Directory, réplication, stratégie d'authentification d'utilisateur et d'ordinateur, approbations
    UDP 123 AWS Microsoft AD géré VPC IPv4 CIDR Heure Windows Heure Windows, approbations
    UDP 138 AWS Microsoft AD géré VPC IPv4 CIDR DFSN & NetLogon DFS, politique de groupe
    Tous Tous AWS groupe de sécurité créé pour les contrôleurs de domaine (sg-1234567890abcdef0) Tout le trafic

    Règles sortantes

    Protocole Plage de ports Destination Type de trafic Utilisation d'Active Directory
    Tous Tous 0.0.0.0/0 Tout le trafic

  • Pour plus d'informations sur les ports et protocoles utilisés par Active Directory, voir Présentation des services et exigences en matière de ports réseau pour Windows dans Microsoft .

  • Création d'un compte d'administrateur d'annuaire avec le nom d'utilisateur Admin et le mot de passe spécifié. Ce compte est situé sous l'unité d'organisation Users (Utilisateurs) (par exemple, Corp > Users). Vous utilisez ce compte pour gérer votre annuaire dans le AWS Cloud. Pour de plus amples informations, veuillez consulter AWS Autorisations du compte administrateur Microsoft AD géré.

    Important

    Assurez-vous d'enregistrer ce mot de passe. AWS Directory Service ne stocke pas ce mot de passe et il ne peut pas être récupéré. Toutefois, vous pouvez réinitialiser un mot de passe depuis la AWS Directory Service console ou en utilisant le ResetUserPasswordAPI.

  • Crée les trois unités organisationnelles suivantes (OUs) sous la racine du domaine :

    Nom de l'unité d'organisation Description

    AWS Groupes délégués

    		Stocke tous les groupes que vous pouvez utiliser pour déléguer AWS des autorisations spécifiques à vos utilisateurs.
    AWS Réservé Stocke tous les comptes spécifiques à la AWS gestion.
    <votrenomdedomaine> Le nom de cette unité d'organisation est basé sur le BIOS nom réseau que vous avez saisi lors de la création de votre répertoire. Si vous n'avez pas spécifié de BIOS nom réseau, il s'agira par défaut de la première partie du DNS nom de votre répertoire (par exemple, dans le cas de corp.exemple.com, le BIOS nom du réseau sera corp). Cette unité d'organisation est détenue par AWS et contient tous vos AWS objets de répertoire associés, sur lesquels vous avez le contrôle total. Cette unité d'OUsorganisation comporte deux enfants par défaut : les ordinateurs et les utilisateurs. Par exemple :

    • Corp

      • Computers (Ordinateurs)

      • Users

  • Crée les groupes suivants dans l'unité d' AWS organisation des groupes délégués :

    Nom du groupe Description
    AWS Opérateurs de comptes délégués Les membres de ce groupe de sécurité ont peu de capacités de gestion de compte comme les réinitialisations de mots de passe

    AWS Administrateurs d'activation basés sur Active Directory délégués

    Les membres de ce groupe de sécurité peuvent créer des objets d'activation de licences en volume Active Directory, ce qui permet aux entreprises d'activer des ordinateurs via une connexion à leur domaine.
    AWS Ajout délégué de postes de travail aux utilisateurs du domaine Les membres de ce groupe de sécurité peuvent joindre 10 ordinateurs à un domaine.
    AWS Administrateurs délégués Les membres de ce groupe de sécurité peuvent gérer AWS Managed Microsoft AD, avoir le contrôle total de tous les objets de votre unité d'organisation et peuvent gérer les groupes contenus dans l'unité d' AWS organisation des groupes délégués.
    AWS Autorisation déléguée d'authentifier des objets Les membres de ce groupe de sécurité ont la possibilité de s'authentifier auprès des ressources informatiques de l'unité d'organisation AWS réservée (uniquement nécessaire pour les objets locaux avec des approbations activées par l'authentification sélective).
    AWS Délégué autorisé à s'authentifier auprès des contrôleurs de domaine Les membres de ce groupe de sécurité ont la possibilité de s'authentifier auprès des ressources informatiques dans l'unité d'organisation des contrôleurs de domaine (uniquement nécessaire pour les objets sur site avec les approbations activées pour l'authentification sélective).

    AWS Administrateurs délégués de durée de vie des objets supprimés

    Les membres de ce groupe de sécurité peuvent modifier l'DeletedObjectLifetimeobjet MSDs, qui définit la durée pendant laquelle un objet supprimé pourra être récupéré depuis la corbeille AD.
    AWS Administrateurs de systèmes de fichiers distribués délégués Les membres de ce groupe de sécurité peuvent ajouter et supprimer des espaces de nomFRS, DFS ainsi que des espaces de DFS nom.
    AWS Administrateurs de systèmes de noms de domaine délégués Les membres de ce groupe de sécurité peuvent gérer Active Directory intégréDNS.
    AWS Administrateurs délégués du protocole de configuration dynamique des hôtes Les membres de ce groupe de sécurité peuvent autoriser DHCP les serveurs Windows dans l'entreprise.
    AWS Administrateurs délégués des autorités de certification d'entreprise Les membres de ce groupe de sécurité peuvent déployer et gérer une autorité de certification d'entreprise Microsoft.
    AWS Administrateurs délégués de politiques de mots de passe détaillées Les membres de ce groupe de sécurité peuvent modifier les stratégies de gestion de mots de passe granulaires prédéfinies.
    AWS FSxAdministrateurs délégués Les membres de ce groupe de sécurité ont la possibilité de gérer les FSx ressources Amazon.
    AWS Administrateurs de politiques de groupe délégués Les membres de ce groupe de sécurité peuvent effectuer des tâches de gestion de stratégies de groupe (créer, modifier, supprimer un lien).
    AWS Administrateurs de délégation Kerberos délégués Les membres de ce groupe de sécurité peuvent activer une délégation sur les ordinateurs et les comptes utilisateur.
    AWS Administrateurs de comptes de services gérés délégués Les membres de ce groupe de sécurité peuvent créer et supprimer des comptes de services gérés.
    AWS Dispositifs NPRC non conformes à la norme MS délégués Les membres de ce groupe de sécurité seront exemptés de l'obligation d'exiger des communications par canal sécurisé avec les contrôleurs de domaine. Ce groupe est destiné aux comptes d'ordinateur.
    AWS Administrateurs de services d'accès à distance délégués Les membres de ce groupe de sécurité peuvent ajouter et supprimer RAS des serveurs dans le groupe RAS et IAS Servers.
    AWS Administrateurs délégués des modifications de répertoire répliquées Les membres de ce groupe de sécurité peuvent synchroniser les informations de profil dans Active Directory avec le SharePoint serveur.
    AWS Administrateurs de serveurs délégués Les membres de ce groupe de sécurité sont inclus dans le groupe d'administrateurs locaux sur tous les ordinateurs liés au domaine.
    AWS Administrateurs de sites et de services délégués Les membres de ce groupe de sécurité peuvent renommer l' Default-First-Site-Nameobjet dans Active Directory Sites and Services.
    AWS Administrateurs de gestion de système délégués Les membres de ce groupe de sécurité peuvent créer et gérer des objets dans le conteneur System Management.
    AWS Administrateurs de licences Terminal Server délégués Les membres de ce groupe de sécurité peuvent ajouter et supprimer des serveurs de licences Terminal Server dans le groupe de serveurs de licences Terminal Server.
    AWS Administrateurs délégués des suffixes de nom d'utilisateur principal Les membres de ce groupe de sécurité peuvent ajouter et supprimer des suffixes de noms principaux d'utilisateurs.
    Note

    Vous pouvez ajouter à ces groupes AWS délégués.

  • Crée et applique les objets de stratégie de groupe suivants (GPOs) :

    Note

    Vous n'êtes pas autorisé à les supprimer, les modifier ou les GPOs dissocier. Ceci est intentionnel car ils sont réservés à AWS l'usage. Vous pouvez les lier à OUs celui que vous contrôlez si nécessaire.

    Nom de la stratégie de groupe S’applique à Description
    Stratégie de domaine par défaut Domaine Inclut les stratégies de mot de passe de domaine et Kerberos.
    ServerAdmins Tous les comptes d'ordinateurs autres que contrôleurs de domaine Ajoute les « Administrateurs de serveur AWS délégués » en tant que membre du groupe BUILTIN \ Administrators.
    AWS Politique de réserve : utilisateur AWS Comptes utilisateurs réservés Définit les paramètres de sécurité recommandés pour tous les comptes utilisateurs de l'unité d'organisation AWS réservée.
    AWS Politique Active Directory gérée Tous les contrôleurs de domaine Définit les paramètres de sécurité recommandés sur tous les contrôleurs de domaine.
    TimePolicyNT5DS Tous les contrôleurs autres que les contrôleurs PDCe de domaine Définit la politique horaire de tous les contrôleurs autres que les contrôleurs de PDCe domaine afin qu'ils utilisent Windows Time (NT5DS).
    TimePolicyPDC Le contrôleur PDCe de domaine Définit la politique horaire du contrôleur de PDCe domaine pour utiliser le protocole Network Time Protocol (NTP).
    Stratégie des contrôleurs de domaine par défaut Non utilisé Provisionnée lors de la création du domaine, la politique AWS Managed Active Directory est utilisée à sa place.

    Si vous souhaitez consulter les paramètres de chacunGPO, vous pouvez les consulter à partir d'une instance Windows jointe à un domaine avec la console de gestion des politiques de groupe (GPMC) activée.

  • Crée les comptes locaux par défaut suivants pour AWS la gestion de Microsoft AD :

    Important

    Veillez à enregistrer le mot de passe administrateur. AWS Directory Service ne stocke pas ce mot de passe et il ne peut pas être récupéré. Toutefois, vous pouvez réinitialiser un mot de passe depuis la AWS Directory Service console ou en utilisant le ResetUserPasswordAPI.

    Administrateur

    L'administrateur est le compte d'administrateur d'annuaire créé lors de la création initiale de AWS Managed Microsoft AD. Vous fournissez un mot de passe pour ce compte lorsque vous créez un AWS Managed Microsoft AD. Ce compte est situé sous l'unité d'organisation Users (Utilisateurs) (par exemple, Corp > Users). Vous utilisez ce compte pour gérer votre Active Directory dans le AWS. Pour de plus amples informations, veuillez consulter AWS Autorisations du compte administrateur Microsoft AD géré.

    AWS_11111111111

    Tout nom de compte commençant par un AWS trait de soulignement et situé dans l'unité d'organisation AWS réservée est un compte géré par un service. Ce compte géré par le service est utilisé AWS pour interagir avec Active Directory. Ces comptes sont créés lorsque AWS Directory Service Data est activé et chaque nouvelle AWS application est autorisée sur Active Directory. Ces comptes ne sont accessibles que par les AWS services.

    mot de passe du compte krbtgt

    Le compte krbtgt joue un rôle important dans les échanges de tickets Kerberos utilisés par votre Managed AWS Microsoft AD. Le compte krbtgt est un compte spécial utilisé pour le chiffrement des tickets (TGT) par Kerberos qui octroie des tickets. Il joue un rôle crucial dans la sécurité du protocole d'authentification Kerberos. Pour plus d'informations, consultez la documentation Microsoft.

    AWS fait automatiquement pivoter le mot de passe du compte krbtgt pour votre Managed AWS Microsoft AD deux fois tous les 90 jours. Il y a une période d'attente de 24 heures entre les deux rotations consécutives tous les 90 jours.

Pour plus d'informations sur le compte administrateur et les autres comptes créés par Active Directory, voir Microsoft documentation.