Memulai dengan AWS Microsoft AD yang Dikelola - AWS Directory Service
AWS Prasyarat Microsoft AD yang dikelolaBuat Anda AWS Microsoft AD yang Dikelola Apa yang diciptakan dengan Anda AWS Microsoft AD yang Dikelola Izin akun admin

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan AWS Microsoft AD yang Dikelola

AWS Microsoft AD yang dikelola membuat terkelola sepenuhnya, Microsoft Active Directory di AWS Cloud dan didukung oleh Windows Server 2019 dan beroperasi pada tingkat fungsional Hutan dan Domain R2 2012. Saat Anda membuat direktori dengan AWS Microsoft AD yang dikelola, AWS Directory Service membuat dua pengontrol domain dan menambahkan DNS layanan atas nama Anda. Pengontrol domain dibuat dalam subnet yang berbeda di Amazon redundansi VPC ini membantu memastikan bahwa direktori Anda tetap dapat diakses bahkan jika terjadi kegagalan. Jika Anda membutuhkan lebih banyak pengendali domain, Anda dapat menambahkannya nanti. Untuk informasi selengkapnya, lihat Men-deploy pengendali domain tambahan.

AWS Prasyarat Microsoft AD yang dikelola

Untuk membuat AWS Microsoft AD yang Dikelola Active Directory, Anda memerlukan Amazon VPC dengan yang berikut ini:

  • Setidaknya dua subnet. Setiap subnet harus berada di Availability Zone yang berbeda.

  • VPCHarus memiliki penyewaan perangkat keras default.

  • Anda tidak dapat membuat AWS Microsoft AD yang dikelola di alamat yang VPC menggunakan di ruang alamat 198.18.0.0/15.

Jika Anda perlu mengintegrasikan AWS Domain Microsoft AD terkelola dengan lokal yang ada Active Directory domain, Anda harus memiliki tingkat fungsional Forest dan Domain untuk domain lokal Anda disetel ke Windows Server 2003 atau lebih tinggi.

AWS Directory Service menggunakan dua VPC struktur. EC2Contoh yang membentuk direktori Anda berjalan di luar AWS akun, dan dikelola oleh AWS. Mereka memiliki dua adapter jaringan, ETH0 danETH1. ETH0adalah adaptor manajemen, dan ada di luar akun Anda. ETH1dibuat dalam akun Anda.

Rentang IP manajemen jaringan ETH 0 direktori Anda adalah 198.18.0.0/15.

AWS IAM Identity Center prasyarat

Jika Anda berencana untuk menggunakan Pusat IAM Identitas dengan AWS Microsoft AD yang dikelola, Anda perlu memastikan bahwa yang berikut ini benar:

  • Klaster AWS Direktori Microsoft AD terkelola diatur di AWS akun manajemen organisasi.

  • Contoh Pusat IAM Identitas Anda berada di Wilayah yang sama di mana Anda AWS Direktori Microsoft AD yang dikelola diatur.

Untuk informasi selengkapnya, lihat prasyarat Pusat IAM Identitas di AWS IAM Identity Center Panduan Pengguna.

Prasyarat autentikasi multi-faktor

Untuk mendukung otentikasi multi-faktor dengan AWS Direktori Microsoft AD terkelola, Anda harus mengonfigurasi server Layanan Pengguna (RADIUS) Dial-In Autentikasi Jarak Jauh lokal atau berbasis Internet dengan cara berikut agar dapat menerima permintaan dari Anda AWS Direktori Microsoft AD yang dikelola di AWS.

  1. Di RADIUS server Anda, buat dua RADIUS klien untuk mewakili kedua AWS Pengontrol domain Microsoft AD terkelola (DCs) di AWS. Anda harus mengkonfigurasi kedua klien menggunakan parameter umum berikut (RADIUSserver Anda mungkin berbeda):

    • Alamat (DNSatau IP): Ini adalah DNS alamat untuk salah satu AWS Microsoft AD yang dikelolaDCs. Kedua DNS alamat tersebut dapat ditemukan di AWS Directory Service Console pada halaman Detail AWS Direktori Microsoft AD terkelola di mana Anda berencana untuk menggunakanMFA. DNSAlamat yang ditampilkan mewakili alamat IP untuk kedua AWS Microsoft AD terkelola DCs yang digunakan oleh AWS.

      catatan

      Jika RADIUS server Anda mendukung DNS alamat, Anda harus membuat hanya satu konfigurasi RADIUS klien. Jika tidak, Anda harus membuat satu konfigurasi RADIUS klien untuk masing-masing AWS Microsoft AD DC yang dikelola.

    • Nomor port: Konfigurasikan nomor port tempat RADIUS server Anda menerima koneksi RADIUS klien. RADIUSPort standarnya adalah 1812.

    • Rahasia bersama: Ketik atau buat rahasia bersama yang akan digunakan RADIUS server untuk terhubung dengan RADIUS klien.

    • Protokol: Anda mungkin perlu mengkonfigurasi protokol otentikasi antara AWS Microsoft AD yang dikelola DCs dan RADIUS server. Protokol yang didukung adalahPAP, CHAP MS-CHAPv1, dan MS-. CHAPv2 MS- CHAPv2 direkomendasikan karena memberikan keamanan terkuat dari tiga opsi.

    • Nama aplikasi: Ini mungkin opsional di beberapa RADIUS server dan biasanya mengidentifikasi aplikasi dalam pesan atau laporan.

  2. Konfigurasikan jaringan Anda yang ada untuk memungkinkan lalu lintas masuk dari RADIUS klien (AWS DCsDNSAlamat Microsoft AD terkelola, lihat Langkah 1) ke port RADIUS server Anda.

  3. Tambahkan aturan ke grup EC2 keamanan Amazon di Anda AWS Domain Microsoft AD terkelola yang memungkinkan lalu lintas masuk dari DNS alamat RADIUS server dan nomor port yang ditentukan sebelumnya. Untuk informasi selengkapnya, lihat Menambahkan aturan ke grup keamanan di Panduan EC2 Pengguna.

Untuk informasi lebih lanjut tentang penggunaan AWS Microsoft AD yang dikelola denganMFA, lihatAktifkan otentikasi multi-faktor untuk AWS Microsoft AD yang Dikelola.

Buat Anda AWS Microsoft AD yang Dikelola

Untuk membuat AWS Microsoft AD yang Dikelola Active Directory, lakukan langkah-langkah berikut. Sebelum memulai prosedur ini, pastikan Anda telah menyelesaikan prasyarat yang diidentifikasi dalam AWS Prasyarat Microsoft AD yang dikelola.

Untuk membuat AWS Microsoft AD yang Dikelola

  1. Di AWS Directory Service panel navigasi konsol, pilih Direktori dan kemudian pilih Siapkan direktori.

  2. Pada halaman Pilih jenis direktori, pilih AWS Microsoft AD yang dikelola, lalu pilih Berikutnya.

  3. Di halaman Masukkan informasi direktori, berikan informasi berikut:

    Edisi

    Pilih dari Edisi Standar atau Edisi Perusahaan AWS Microsoft AD yang dikelola. Untuk informasi selengkapnya tentang edisi, lihat AWS Directory Service untuk Microsoft Active Directory.

    DNSNama direktori

    Nama berkualifikasi penuh untuk direktori, seperti corp.example.com.

    catatan

    Jika Anda berencana menggunakan Amazon Route 53 untukDNS, nama domain Anda AWS Microsoft AD yang dikelola harus berbeda dari nama domain Route 53 Anda. DNSmasalah resolusi dapat terjadi jika Rute 53 dan AWS Microsoft AD yang dikelola berbagi nama domain yang sama.

    BIOSNama Direktori Net

    Nama singkat untuk direktori, seperti CORP.

    Deskripsi direktori

    Deskripsi opsional untuk direktori.

    Kata sandi admin

    Kata sandi administrator direktori. Proses pembuatan direktori menciptakan akun administrator dengan nama pengguna Admin dan kata sandi ini.

    Kata sandi tidak dapat menyertakan kata "admin."

    Kata sandi administrator direktori peka akan huruf besar kecil dan harus terdiri dari 8 sampai 64 karakter, inklusif. Kata sandi juga harus berisi minimal satu karakter dalam tiga dari empat kategori berikut:

    • Huruf kecil (a-z)

    • Huruf besar (A-Z)

    • Angka (0-9)

    • Karakter non-alfanumerik (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Konfirmasikan kata sandi

    Ketik ulang kata sandi administrator.

    (Opsional) Manajemen pengguna dan grup

    Untuk mengaktifkan AWS Manajemen pengguna dan grup Microsoft AD yang dikelola dari AWS Management Console, pilih Kelola pengguna dan manajemen grup di AWS Management Console. Untuk informasi selengkapnya tentang cara menggunakan manajemen pengguna dan grup, lihatKelola pengguna dan grup dengan AWS Management Console.

  4. Pada halaman Pilih VPC dan subnet, berikan informasi berikut, lalu pilih Berikutnya.

    VPC

    VPCUntuk direktori.

    Subnet

    Pilih subnet untuk pengendali domain. Kedua subnet harus berada di Zona Ketersediaan yang berbeda.

  5. Pada halaman Tinjau & buat, tinjau informasi direktori dan buat perubahan yang diperlukan. Jika informasi sudah benar, pilih Buat direktori. Membuat direktori membutuhkan waktu 20 sampai 40 menit. Setelah dibuat, nilai Status berubah ke Aktif.

Apa yang diciptakan dengan Anda AWS Microsoft AD yang Dikelola

Saat Anda membuat Active Directory dengan AWS Microsoft AD yang dikelola, AWS Directory Service melakukan tugas-tugas berikut atas nama Anda:

  • Secara otomatis membuat dan mengaitkan elastic network interface (ENI) dengan masing-masing pengontrol domain Anda. Masing-masing ENIs penting untuk konektivitas antara Anda VPC dan AWS Directory Service pengontrol domain dan tidak boleh dihapus. Anda dapat mengidentifikasi semua antarmuka jaringan yang dicadangkan untuk digunakan dengan AWS Directory Service dengan deskripsi:”AWS membuat antarmuka jaringan untuk direktori-id direktori”. Untuk informasi selengkapnya, lihat Antarmuka Jaringan Elastis di Panduan EC2 Pengguna Amazon. DNSServer default dari AWS Microsoft AD yang Dikelola Active Directory adalah VPC DNS server di Classless Inter-Domain Routing () +2. CIDR Untuk informasi selengkapnya, lihat DNSServer Amazon di Panduan VPC Pengguna Amazon.

    catatan

    Pengontrol domain diterapkan di dua Availability Zone di suatu wilayah secara default dan terhubung ke Amazon VPC ()VPC. Pencadangan diambil secara otomatis sekali per hari, dan volume Amazon EBS (EBS) dienkripsi untuk memastikan bahwa data diamankan saat istirahat. Pengendali domain yang gagal secara otomatis diganti di Availability Zone yang sama menggunakan alamat IP yang sama, dan pemulihan bencana penuh dapat dilakukan dengan menggunakan backup terbaru.

  • Ketentuan Active Directory dalam Anda VPC menggunakan dua pengontrol domain untuk toleransi kesalahan dan ketersediaan tinggi. Pengendali domain yang lebih dapat disediakan untuk ketahanan yang lebih tinggi dan performa setelah direktori telah berhasil dibuat dan Aktif. Untuk informasi selengkapnya, lihat Men-deploy pengendali domain tambahan.

    catatan

    AWS tidak memungkinkan pemasangan agen pemantauan pada AWS Pengontrol domain Microsoft AD yang dikelola.

  • Menciptakan sebuah AWS grup keamanan yang menetapkan aturan jaringan untuk lalu lintas masuk dan keluar dari pengontrol domain Anda. Aturan keluar default mengizinkan semua lalu lintas ENIs atau instance yang dilampirkan ke yang dibuat AWS Grup Keamanan. Aturan masuk default hanya memungkinkan lalu lintas melalui port yang diperlukan oleh Active Directory dari sumber manapun (0.0.0.0/0). Aturan 0.0.0.0/0 tidak memperkenalkan kerentanan keamanan karena lalu lintas ke pengontrol domain terbatas pada lalu lintas dari Amazon Anda, dari peered lain VPCVPCs, atau dari jaringan yang telah Anda sambungkan menggunakan AWS Direct Connect, AWS Transit Gateway, atau Jaringan Pribadi Virtual. Untuk keamanan tambahan, ENIs yang dibuat tidak memiliki Elastic yang IPs melekat padanya dan Anda tidak memiliki izin untuk melampirkan IP Elastis ke merekaENIs. Oleh karena itu, satu-satunya lalu lintas masuk yang dapat berkomunikasi dengan Anda AWS Microsoft AD yang dikelola adalah lalu lintas lokal VPC dan VPC dirutekan. Gunakan sangat hati-hati jika Anda mencoba untuk mengubah aturan-aturan ini karena mungkin dapat merusak kemampuan Anda untuk berkomunikasi dengan pengendali domain Anda. Untuk informasi selengkapnya, lihat Praktik terbaik untuk Microsoft AD yang AWS Dikelola. Berikut ini AWS Aturan Grup Keamanan dibuat secara default:

    Aturan Masuk

    Protokol Rentang port Sumber Jenis lalu lintas Penggunaan Direktori Aktif
    ICMP N/A 0.0.0.0/0 Ping LDAPTetap Hidup, DFS
    TCP & UDP 53 0.0.0.0/0 DNS Autentikasi pengguna dan komputer, resolusi nama, kepercayaan
    TCP & UDP 88 0.0.0.0/0 Kerberos Autentikasi pengguna dan komputer, kepercayaan tingkat forest
    TCP & UDP 389 0.0.0.0/0 LDAP Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan
    TCP & UDP 445 0.0.0.0/0 SMB / CIFS Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan
    TCP & UDP 464 0.0.0.0/0 Kerberos mengubah / mengatur kata sandi Replikasi, pengguna dan autentikasi komputer, kepercayaan
    TCP 135 0.0.0.0/0 Replikasi RPC, EPM
    TCP 636 0.0.0.0/0 LDAP SSL Direktori, replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan
    TCP 1024 - 65535 0.0.0.0/0 RPC Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan
    TCP 3268 - 3269 0.0.0.0/0 LDAPGC & LDAP GC SSL Direktori, replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan
    UDP 123 0.0.0.0/0 Waktu Windows Waktu Windows, kepercayaan
    UDP 138 0.0.0.0/0 DFSN & NetLogon DFS, kebijakan kelompok
    Semua Semua sg-############## Semua Lalu Lintas

    Aturan Keluar

    Protokol Rentang Port Tujuan Jenis lalu lintas Penggunaan Direktori Aktif
    Semua Semua sg-############## Semua Lalu Lintas

  • Menciptakan tiga unit organisasi berikut (OUs) di bawah root domain:

    Nama OU Deskripsi

    AWS Grup yang Delegasikan

    		Menyimpan semua grup yang dapat Anda gunakan untuk mendelegasikan AWS izin khusus untuk pengguna Anda.
    AWS Reserved Menyimpan semua AWS manajemen akun khusus.
    <yourdomainname> Nama OU ini didasarkan dari BIOS nama Net yang Anda ketik ketika Anda membuat direktori Anda. Jika Anda tidak menentukan BIOS nama Net, itu akan default ke bagian pertama dari DNS nama Direktori Anda (misalnya, dalam kasus corp.example.com, BIOS nama Net akan menjadi corp). OU ini dimiliki oleh AWS dan berisi semua AWS-objek direktori terkait, yang Anda diberikan Kontrol Penuh atas. Dua anak OUs ada di bawah OU ini secara default; Komputer dan Pengguna. Sebagai contoh:

    • Corp

      • Komputer

      • Pengguna

  • Membuat grup berikut di AWS Grup Delegasi OU:

    Nama grup Deskripsi
    AWS Operator Akun yang Delegasikan Anggota grup keamanan ini memiliki kemampuan manajemen akun terbatas seperti pengaturan ulang kata sandi

    AWS Administrator Aktivasi Berbasis Direktori Aktif yang Delegasikan

    Anggota grup keamanan ini dapat membuat Active Directory objek aktivasi lisensi volume, yang memungkinkan perusahaan untuk mengaktifkan komputer melalui koneksi ke domain mereka.
    AWS Delegasikan Tambahkan Workstation Ke Pengguna Domain Anggota grup keamanan ini dapat menggabungkan 10 komputer ke sebuah domain.
    AWS Administrator yang didelegasikan Anggota grup keamanan ini dapat mengelola AWS Microsoft AD yang dikelola, memiliki kontrol penuh atas semua objek di OU Anda dan dapat mengelola grup yang terkandung dalam AWS Grup Delegasi OU.
    AWS Delegasi Diizinkan untuk Mengautentikasi Objek Anggota grup keamanan ini diberikan kemampuan untuk mengautentikasi ke sumber daya komputer di AWS OU Cadangan (Hanya diperlukan untuk objek lokal dengan Authentication Selective enabled Trusts).
    AWS Delegasi Diizinkan untuk Mengautentikasi ke Pengontrol Domain Anggota grup keamanan ini diberikan kemampuan untuk mengautentikasi ke sumber daya komputer di Pengendali Domain OU (hanya diperlukan untuk objek on-promise dengan Kepercayaan yang Autentikasi Selektif diaktifkan).

    AWS Administrator Seumur Hidup Objek Dihapus yang Delegasikan

    Anggota grup keamanan ini dapat memodifikasi DeletedObjectLifetime objek MSDS-, yang menentukan berapa lama objek yang dihapus akan tersedia untuk dipulihkan dari Tempat Sampah AD.
    AWS Administrator Sistem File Terdistribusi yang Delegasikan Anggota grup keamanan ini dapat menambah dan menghapusFRS, DFS -R, dan spasi DFS nama.
    AWS Administrator Sistem Nama Domain yang Delegasikan Anggota grup keamanan ini dapat mengelola Active Directory terintegrasiDNS.
    AWS Administrator Protokol Konfigurasi Host Dinamis yang Delegasikan Anggota grup keamanan ini dapat memberikan otorisasi Windows DHCPserver di perusahaan.
    AWS Administrator Otoritas Sertifikat Perusahaan yang Delegasikan Anggota grup keamanan ini dapat menyebarkan dan mengelola Microsoft Infrastruktur Otoritas Sertifikat Perusahaan.
    AWS Administrator Kebijakan Kata Sandi Berbutir Halus yang Delegasikan Anggota grup keamanan ini dapat memodifikasi kebijakan kata sandi terperinci yang telah dibuat sebelumnya.
    AWS Administrator yang didelegasikan FSx Anggota grup keamanan ini diberikan kemampuan untuk mengelola FSx sumber daya Amazon.
    AWS Administrator Kebijakan Grup yang Delegasikan Anggota grup keamanan ini dapat melakukan tugas manajemen kebijakan grup (membuat, mengedit, menghapus, tautan).
    AWS Administrator Delegasi Kerberos yang Delegasi Anggota grup keamanan ini dapat mengaktifkan delegasi pada komputer dan objek akun pengguna.
    AWS Administrator Akun Layanan Terkelola yang Delegasikan Anggota grup keamanan ini dapat membuat dan menghapus Akun Layanan Terkelola.
    AWS Perangkat MS- NPRC Non-Compliant yang Delegasikan Anggota grup keamanan ini akan diberikan pengecualian dari memerlukan komunikasi saluran aman dengan pengendali domain. Grup ini adalah untuk akun komputer.
    AWS Administrator Layanan Akses Jarak Jauh yang Delegasikan Anggota grup keamanan ini dapat menambah dan menghapus RAS server dari grup RAS dan IAS Server.
    AWS Administrator Perubahan Direktori Replikasi yang Delegasikan Anggota grup keamanan ini dapat menyinkronkan informasi profil di Active Directory dengan SharePoint Server.
    AWS Administrator Server yang Delegasikan Anggota grup keamanan ini termasuk dalam grup administrator lokal pada semua komputer yang tergabung di domain.
    AWS Administrator Situs dan Layanan yang Delegasikan Anggota grup keamanan ini dapat mengubah nama objek Default-First-Site-Name di Situs dan Layanan Direktori Aktif.
    AWS Administrator Manajemen Sistem yang Delegasikan Anggota grup keamanan ini dapat membuat dan mengelola objek dalam kontainer pengelolaan sistem.
    AWS Administrator Lisensi Server Terminal yang Delegasikan Anggota grup keamanan ini dapat menambah dan menghapus Server Lisensi Server Terminal dari grup Server Lisensi Server Terminal.
    AWS Administrator Akhiran Nama Utama Pengguna yang Delegasikan Anggota grup keamanan ini dapat menambah dan menghapus akhiran nama utama pengguna.

  • Membuat dan menerapkan Objek Kebijakan Grup berikut (GPOs):

    catatan

    Anda tidak memiliki izin untuk menghapus, memodifikasi, atau memutuskan tautan ini. GPOs Ini adalah desain karena mereka dicadangkan untuk AWS gunakan. Anda dapat menautkannya ke OUs yang Anda kendalikan jika diperlukan.

    Nama kebijakan grup Berlaku untuk Deskripsi
    Kebijakan Domain Default Domain Termasuk kebijakan kata sandi domain dan Kerberos.
    ServerAdmins Semua akun komputer pengendali non domain Menambahkan 'AWS Administrator Server yang didelegasikan sebagai anggota Grup AdministratorBUILTIN\ Administrator.
    AWS Kebijakan Cadangan: Pengguna AWS Akun pengguna yang dicadangkan Menetapkan pengaturan keamanan yang disarankan pada semua akun pengguna di AWS Cadangan OU.
    AWS Kebijakan Direktori Aktif Terkelola Semua pengendali domain Atur pengaturan keamanan yang direkomendasikan pada semua pengendali domain.
    TimePolicyNT5DS Semua pengontrol non PDCe domain Menetapkan semua kebijakan waktu pengontrol non PDCe domain untuk menggunakan Windows Time (NT5DS).
    TimePolicyPDC Pengontrol PDCe domain Menetapkan kebijakan waktu pengontrol PDCe domain untuk menggunakan Network Time Protocol (NTP).
    Kebijakan pengendali Domain default Tidak digunakan Disediakan selama pembuatan domain, AWS Kebijakan Direktori Aktif Terkelola digunakan sebagai gantinya.

    Jika Anda ingin melihat setelan masing-masingGPO, Anda dapat melihatnya dari instance Windows yang bergabung dengan domain dengan konsol manajemen kebijakan Grup (GPMC) diaktifkan.

  • Membuat akun lokal default berikut untuk AWS Manajemen Microsoft AD yang dikelola:

    penting

    Pastikan untuk menyimpan kata sandi admin. AWS Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil. Namun, Anda dapat mengatur ulang kata sandi dari AWS Directory Service konsol atau dengan menggunakan ResetUserPasswordAPI.

    Admin

    Admin adalah akun administrator direktori yang dibuat ketika AWS Microsoft AD yang dikelola pertama kali dibuat. Anda memberikan kata sandi untuk akun ini saat Anda membuat AWS Microsoft AD yang dikelola. Akun ini terletak di bawah Pengguna OU (Contohnya, Corp > Pengguna). Anda menggunakan akun ini untuk mengelola Active Directory di AWS Untuk informasi selengkapnya, lihat Izin untuk akun Admin.

    AWS_11111111111

    Setiap nama akun dimulai dengan AWS diikuti oleh garis bawah dan terletak di AWS Reserved OU adalah akun yang dikelola layanan. Akun yang dikelola layanan ini digunakan oleh AWS untuk berinteraksi dengan Active Directory. Akun-akun ini dibuat ketika AWS Directory Service Data diaktifkan dan dengan setiap data baru AWS aplikasi diotorisasi pada Active Directory. Akun ini hanya dapat diakses oleh AWS layanan.

Untuk informasi lebih lanjut tentang akun admin dan akun lain yang dibuat oleh Active Directory, lihat Microsoft dokumentasi.

Tampilkan lebih banyakTampilkan lebih sedikit

Izin untuk akun Admin

Saat Anda membuat AWS Directory Service untuk direktori Microsoft Active Directory, AWS membuat unit organisasi (OU) untuk menyimpan semua AWS grup dan akun terkait. Untuk informasi selengkapnya tentang OU ini, lihat Apa yang diciptakan dengan Anda AWS Microsoft AD yang Dikelola . Ini termasuk akun Admin. Akun Admin memiliki izin untuk melakukan aktivitas administratif umum berikut untuk OU Anda:

Akun Admin juga memiliki hak melakukan aktivitas-aktivitas selingkup domain berikut:

  • Mengelola DNS konfigurasi (menambah, menghapus, atau memperbarui catatan, zona, dan forwarder)

  • Lihat log DNS peristiwa

  • Melihat log peristiwa keamanan

Hanya tindakan yang tercantum di sini yang diizinkan untuk akun Admin. Akun Admin juga tidak memiliki izin untuk setiap tindakan terkait direktori di luar OU spesifik Anda, seperti pada OU induk.

penting

AWS Administrator Domain memiliki akses administratif penuh ke semua domain yang di-host AWS. Lihat perjanjian Anda dengan AWS dan AWS perlindungan data FAQ untuk informasi lebih lanjut tentang caranya AWS menangani konten, termasuk informasi direktori, yang Anda simpan AWS sistem.

catatan

Kami merekomendasikan agar Anda tidak menghapus atau mengubah nama akun ini. Jika Anda tidak lagi ingin menggunakan akun, kami sarankan Anda menetapkan kata sandi yang panjang (paling banyak 64 karakter acak) dan kemudian nonaktifkan akun.

Akun istimewa administrator korporasi dan domain

AWS secara otomatis memutar kata sandi Administrator bawaan ke kata sandi acak setiap 90 hari. Kapan saja kata sandi Administrator bawaan diminta untuk digunakan manusia AWS tiket dibuat dan dicatat dengan AWS Directory Service tim. Kredensial akun dienkripsi dan ditangani melalui saluran aman. Juga kredensi akun Administrator hanya dapat diminta oleh AWS Directory Service tim manajemen.

Untuk melakukan manajemen operasional direktori Anda, AWS memiliki kontrol eksklusif atas akun dengan hak Administrator Perusahaan dan Administrator Domain. Ini termasuk kontrol eksklusif akun administrator Direktori Aktif. AWS melindungi akun ini dengan mengotomatiskan manajemen kata sandi melalui penggunaan brankas kata sandi. Selama rotasi otomatis kata sandi administrator, AWS membuat akun pengguna sementara dan memberikannya hak Administrator Domain. Akun sementara ini digunakan sebagai back-up jika terjadi kegagalan rotasi kata sandi pada akun administrator. Setelah AWS berhasil memutar kata sandi administrator, AWS menghapus akun administrator sementara.

Biasanya AWS mengoperasikan direktori sepenuhnya melalui otomatisasi. Jika proses otomatisasi tidak dapat menyelesaikan masalah operasional, AWS mungkin perlu meminta insinyur dukungan masuk ke pengontrol domain (DC) Anda untuk melakukan diagnosis. Dalam kasus yang jarang terjadi ini, AWS mengimplementasikan sistem permintaan/pemberitahuan untuk memberikan akses. Dalam proses ini, AWS otomatisasi membuat akun pengguna terbatas waktu di direktori Anda yang memiliki izin Administrator Domain. AWS mengaitkan akun pengguna dengan insinyur yang ditugaskan untuk bekerja di direktori Anda. AWS mencatat asosiasi ini dalam sistem log kami dan memberikan insinyur dengan kredensi untuk digunakan. Semua tindakan yang diambil oleh teknisi dicatat dalam log peristiwa Windows. Ketika waktu yang dialokasikan berlalu, otomatisasi menghapus akun pengguna.

Anda dapat memantau tindakan akun administratif dengan menggunakan fitur penerusan log direktori Anda. Fitur ini memungkinkan Anda untuk meneruskan peristiwa Keamanan AD ke CloudWatch sistem Anda di mana Anda dapat menerapkan solusi pemantauan. Untuk informasi selengkapnya, lihat Aktifkan penerusan CloudWatch log Amazon Logs untuk AWS Microsoft AD yang Dikelola.

Peristiwa Keamanan IDs 4624, 4672 dan 4648 semuanya dicatat ketika seseorang masuk ke DC secara interaktif. Anda dapat melihat setiap log peristiwa Keamanan Windows DC menggunakan Event Viewer Microsoft Management Console (MMC) dari domain yang bergabung dengan komputer Windows. Anda juga dapat Aktifkan penerusan CloudWatch log Amazon Logs untuk AWS Microsoft AD yang Dikelola mengirim semua log peristiwa Keamanan ke CloudWatch Log di akun Anda.

Anda mungkin sesekali melihat pengguna yang dibuat dan dihapus dalam AWS Cadangan OU. AWS bertanggung jawab atas pengelolaan dan keamanan semua objek di OU ini dan OU atau wadah lainnya di mana kami belum mendelegasikan izin bagi Anda untuk mengakses dan mengelola. Anda mungkin melihat pembuatan dan penghapusan di OU tersebut. Hal ini karena AWS Directory Service menggunakan otomatisasi untuk memutar kata sandi Administrator Domain secara teratur. Ketika kata sandi dirotasi, backup dibuat pada peristiwa rotasi yang gagal. Setelah rotasi berhasil, akun backup akan dihapus secara otomatis. Juga dalam hal langka bahwa akses interaktif diperlukan pada DCs untuk tujuan pemecahan masalah, akun pengguna sementara dibuat untuk AWS Directory Service Insinyur untuk digunakan. Setelah teknisi menyelesaikan pekerjaan mereka, akun pengguna sementara akan dihapus. Perhatikan bahwa setiap kali kredensi interaktif diminta untuk direktori, AWS Directory Service tim manajemen diberitahu.