Apa yang dibuat dengan Microsoft AD yang AWS Dikelola

Secara otomatis membuat dan mengaitkan elastic network interface (ENI) dengan masing-masing pengontrol domain Anda. Masing-masing ENIs penting untuk konektivitas antara Anda VPC dan pengontrol AWS Directory Service domain dan tidak boleh dihapus. Anda dapat mengidentifikasi semua antarmuka jaringan yang dicadangkan untuk digunakan AWS Directory Service dengan deskripsi: "AWS menciptakan antarmuka jaringan untuk direktori-id direktori”. Untuk informasi selengkapnya, lihat Antarmuka Jaringan Elastis di Panduan EC2 Pengguna Amazon. DNSServer default dari Microsoft AD yang AWS Dikelola Active Directory adalah VPC DNS server di Classless Inter-Domain Routing () +2. CIDR Untuk informasi selengkapnya, lihat DNSServer Amazon di Panduan VPC Pengguna Amazon.

catatan

Pengontrol domain diterapkan di dua Availability Zone di suatu wilayah secara default dan terhubung ke Amazon VPC ()VPC. Pencadangan diambil secara otomatis sekali per hari, dan volume Amazon EBS (EBS) dienkripsi untuk memastikan bahwa data diamankan saat istirahat. Pengendali domain yang gagal secara otomatis diganti di Availability Zone yang sama menggunakan alamat IP yang sama, dan pemulihan bencana penuh dapat dilakukan dengan menggunakan backup terbaru.

Ketentuan Active Directory dalam Anda VPC menggunakan dua pengontrol domain untuk toleransi kesalahan dan ketersediaan tinggi. Pengendali domain yang lebih dapat disediakan untuk ketahanan yang lebih tinggi dan performa setelah direktori telah berhasil dibuat dan Aktif. Untuk informasi selengkapnya, lihat Menerapkan pengontrol domain tambahan untuk AWS Microsoft AD yang Dikelola.

catatan

AWS tidak mengizinkan penginstalan agen pemantauan pada pengontrol domain Microsoft AD AWS Terkelola.

Membuat grup AWS Keamanan yang menetapkan aturan jaringan untuk lalu lintas masuk dan keluar dari pengontrol domain Anda. Aturan keluar default mengizinkan semua lalu lintas ENIs atau instance yang dilampirkan ke grup Keamanan yang dibuat AWS . Aturan masuk default hanya memungkinkan lalu lintas melalui port yang diperlukan oleh Active Directory dari iklan VPC CIDR Microsoft AWS Terkelola Anda. Aturan ini tidak memperkenalkan kerentanan keamanan karena lalu lintas ke pengontrol domain terbatas pada lalu lintas dari AndaVPC, dari peered lainVPCs, atau dari jaringan yang telah Anda sambungkan menggunakan, AWS Transit AWS Direct Connect Gateway, atau Jaringan Pribadi Virtual. Untuk keamanan tambahan, ENIs yang dibuat tidak memiliki Elastic yang IPs melekat padanya dan Anda tidak memiliki izin untuk melampirkan IP Elastis ke IP tersebutENIs. Oleh karena itu, satu-satunya lalu lintas masuk yang dapat berkomunikasi dengan Microsoft AD yang AWS Dikelola adalah lalu lintas lokal VPC dan yang VPC dirutekan. Anda dapat mengubah aturan grup AWS Keamanan. Gunakan sangat hati-hati jika Anda mencoba untuk mengubah aturan-aturan ini karena mungkin dapat merusak kemampuan Anda untuk berkomunikasi dengan pengendali domain Anda. Untuk informasi selengkapnya, lihat AWS Praktik terbaik Microsoft AD yang dikelola. Aturan grup AWS Keamanan berikut dibuat secara default:

Aturan Masuk


Protokol	Rentang port	Sumber	Jenis lalu lintas	Penggunaan Direktori Aktif
ICMP	N/A	AWS Microsoft AD yang dikelola VPC IPv4 CIDR	Ping	LDAPTetap Hidup, DFS
TCP & UDP	53	AWS Microsoft AD yang dikelola VPC IPv4 CIDR	DNS	Autentikasi pengguna dan komputer, resolusi nama, kepercayaan
TCP & UDP	88	AWS Microsoft AD yang dikelola VPC IPv4 CIDR	Kerberos	Autentikasi pengguna dan komputer, kepercayaan tingkat forest
TCP & UDP	389	AWS Microsoft AD yang dikelola VPC IPv4 CIDR	LDAP	Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan
TCP & UDP	445	AWS Microsoft AD yang dikelola VPC IPv4 CIDR	SMB / CIFS	Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan
TCP & UDP	464	AWS Microsoft AD yang dikelola VPC IPv4 CIDR	Kerberos mengubah / mengatur kata sandi	Replikasi, pengguna dan autentikasi komputer, kepercayaan
TCP	135	AWS Microsoft AD yang dikelola VPC IPv4 CIDR	Replikasi	RPC, EPM
TCP	636	AWS Microsoft AD yang dikelola VPC IPv4 CIDR	LDAP SSL	Direktori, replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan
TCP	1024 - 65535	AWS Microsoft AD yang dikelola VPC IPv4 CIDR	RPC	Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan
TCP	3268 - 3269	AWS Microsoft AD yang dikelola VPC IPv4 CIDR	LDAPGC & LDAP GC SSL	Direktori, replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan
UDP	123	AWS Microsoft AD yang dikelola VPC IPv4 CIDR	Waktu Windows	Waktu Windows, kepercayaan
UDP	138	AWS Microsoft AD yang dikelola VPC IPv4 CIDR	DFSN & NetLogon	DFS, kebijakan kelompok
Semua	Semua	AWS Microsoft AD yang dikelola VPC IPv4 CIDR	Semua Lalu Lintas

Aturan Keluar


Protokol	Rentang Port	Tujuan	Jenis lalu lintas	Penggunaan Direktori Aktif
Semua	Semua	0.0.0.0/0	Semua Lalu Lintas

Untuk informasi lebih lanjut tentang port dan protokol yang digunakan oleh Active Directory, lihat Ikhtisar layanan dan persyaratan port jaringan untuk Windows di Microsoft dokumentasi.

Membuat akun administrator direktori dengan nama pengguna Admin dan kata sandi yang ditentukan. Akun ini terletak di bawah Pengguna OU (Contohnya, Corp > Pengguna). Anda menggunakan akun ini untuk mengelola direktori Anda di AWS Cloud. Untuk informasi selengkapnya, lihat AWS Izin akun Administrator Microsoft AD yang dikelola.

penting

Pastikan untuk menyimpan kata sandi ini. AWS Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil. Namun, Anda dapat mengatur ulang kata sandi dari AWS Directory Service konsol atau dengan menggunakan ResetUserPasswordAPI.

Membuat tiga unit organisasi berikut (OUs) di bawah root domain:


Nama OU	Deskripsi
AWS Grup yang Delegasikan	Menyimpan semua grup yang dapat Anda gunakan untuk mendelegasikan izin AWS tertentu kepada pengguna Anda.
AWS Reserved	Menyimpan semua akun khusus AWS manajemen.
<yourdomainname>	Nama OU ini didasarkan dari BIOS nama Net yang Anda ketik ketika Anda membuat direktori Anda. Jika Anda tidak menentukan BIOS nama Net, itu akan default ke bagian pertama dari DNS nama Direktori Anda (misalnya, dalam kasus corp.example.com, BIOS nama Net akan menjadi corp). OU ini dimiliki oleh AWS dan berisi semua objek direktori AWS terkait Anda, yang Anda diberikan Kontrol Penuh atas. Dua anak OUs ada di bawah OU ini secara default; Komputer dan Pengguna. Sebagai contoh: Corp Komputer Pengguna

Membuat grup berikut di Grup AWS Delegasi OU:


Nama grup	Deskripsi
AWS Operator Akun yang Delegasikan	Anggota grup keamanan ini memiliki kemampuan manajemen akun terbatas seperti pengaturan ulang kata sandi
AWS Administrator Aktivasi Berbasis Direktori Aktif yang Delegasikan	Anggota grup keamanan ini dapat membuat objek aktivasi lisensi volume Directory Aktif, yang memungkinkan korporasi untuk mengaktifkan komputer melalui sambungan ke domain mereka.
AWS Delegasikan Tambahkan Workstation Ke Pengguna Domain	Anggota grup keamanan ini dapat menggabungkan 10 komputer ke sebuah domain.
AWS Administrator yang didelegasikan	Anggota grup keamanan ini dapat mengelola Microsoft AD yang AWS Dikelola, memiliki kontrol penuh atas semua objek di OU Anda dan dapat mengelola grup yang terdapat dalam OU Grup AWS Delegasi.
AWS Delegasi Diizinkan untuk Mengautentikasi Objek	Anggota grup keamanan ini diberikan kemampuan untuk mengautentikasi ke sumber daya komputer di OU AWS Cadangan (Hanya diperlukan untuk objek lokal dengan Trusts yang diaktifkan Autentikasi Selektif).
AWS Delegasi Diizinkan untuk Mengautentikasi ke Pengontrol Domain	Anggota grup keamanan ini diberikan kemampuan untuk mengautentikasi ke sumber daya komputer di Pengendali Domain OU (hanya diperlukan untuk objek on-promise dengan Kepercayaan yang Autentikasi Selektif diaktifkan).
AWS Administrator Seumur Hidup Objek Dihapus yang Delegasikan	Anggota grup keamanan ini dapat memodifikasi DeletedObjectLifetime objek MSDS-, yang menentukan berapa lama objek yang dihapus akan tersedia untuk dipulihkan dari Tempat Sampah AD.
AWS Administrator Sistem File Terdistribusi yang Delegasikan	Anggota grup keamanan ini dapat menambah dan menghapusFRS, DFS -R, dan spasi DFS nama.
AWS Administrator Sistem Nama Domain yang Delegasikan	Anggota grup keamanan ini dapat mengelola Active Directory terintegrasiDNS.
AWS Administrator Protokol Konfigurasi Host Dinamis yang Delegasikan	Anggota grup keamanan ini dapat mengotorisasi DHCP server Windows di perusahaan.
AWS Administrator Otoritas Sertifikat Perusahaan yang Delegasikan	Anggota grup keamanan ini dapat men-deploy dan mengelola infrastruktur Otoritas Sertifikat Microsoft Enterprise.
AWS Administrator Kebijakan Kata Sandi Berbutir Halus yang Delegasikan	Anggota grup keamanan ini dapat memodifikasi kebijakan kata sandi terperinci yang telah dibuat sebelumnya.
AWS Administrator yang didelegasikan FSx	Anggota grup keamanan ini diberikan kemampuan untuk mengelola FSx sumber daya Amazon.
AWS Administrator Kebijakan Grup yang Delegasikan	Anggota grup keamanan ini dapat melakukan tugas manajemen kebijakan grup (membuat, mengedit, menghapus, tautan).
AWS Administrator Delegasi Kerberos yang Delegasi	Anggota grup keamanan ini dapat mengaktifkan delegasi pada komputer dan objek akun pengguna.
AWS Administrator Akun Layanan Terkelola yang Delegasikan	Anggota grup keamanan ini dapat membuat dan menghapus Akun Layanan Terkelola.
AWS Perangkat MS- NPRC Non-Compliant yang Delegasikan	Anggota grup keamanan ini akan diberikan pengecualian dari memerlukan komunikasi saluran aman dengan pengendali domain. Grup ini adalah untuk akun komputer.
AWS Administrator Layanan Akses Jarak Jauh yang Delegasikan	Anggota grup keamanan ini dapat menambah dan menghapus RAS server dari grup RAS dan IAS Server.
AWS Administrator Perubahan Direktori Replikasi yang Delegasikan	Anggota grup keamanan ini dapat menyinkronkan informasi profil di Active Directory dengan SharePoint Server.
AWS Administrator Server yang Delegasikan	Anggota grup keamanan ini termasuk dalam grup administrator lokal pada semua komputer yang tergabung di domain.
AWS Administrator Situs dan Layanan yang Delegasikan	Anggota grup keamanan ini dapat mengganti nama Default-First-Site-Name objek di Situs dan Layanan Direktori Aktif.
AWS Administrator Manajemen Sistem yang Delegasikan	Anggota grup keamanan ini dapat membuat dan mengelola objek dalam kontainer pengelolaan sistem.
AWS Administrator Lisensi Server Terminal yang Delegasikan	Anggota grup keamanan ini dapat menambah dan menghapus Server Lisensi Server Terminal dari grup Server Lisensi Server Terminal.
AWS Administrator Akhiran Nama Utama Pengguna yang Delegasikan	Anggota grup keamanan ini dapat menambah dan menghapus akhiran nama utama pengguna.

catatan

Anda dapat menambahkan ke Grup AWS Delegasi ini.

Membuat dan menerapkan Objek Kebijakan Grup berikut (GPOs):

catatan

Anda tidak memiliki izin untuk menghapus, memodifikasi, atau memutuskan tautan ini. GPOs Ini adalah desain karena mereka dicadangkan untuk AWS digunakan. Anda dapat menautkannya ke OUs yang Anda kendalikan jika diperlukan.


Nama kebijakan grup	Berlaku untuk	Deskripsi
Kebijakan Domain Default	Domain	Termasuk kebijakan kata sandi domain dan Kerberos.
ServerAdmins	Semua akun komputer pengendali non domain	Menambahkan 'Administrator Server AWS Delegasi' sebagai anggota dariBUILTIN\ Administrators Group.
AWS Kebijakan Cadangan: Pengguna	AWS Akun pengguna yang dicadangkan	Menetapkan pengaturan keamanan yang disarankan pada semua akun pengguna di OU AWS Cadangan.
AWS Kebijakan Direktori Aktif Terkelola	Semua pengendali domain	Atur pengaturan keamanan yang direkomendasikan pada semua pengendali domain.
TimePolicyNT5DS	Semua pengontrol non PDCe domain	Menetapkan semua kebijakan waktu pengontrol non PDCe domain untuk menggunakan Windows Time (NT5DS).
TimePolicyPDC	Pengontrol PDCe domain	Menetapkan kebijakan waktu pengontrol PDCe domain untuk menggunakan Network Time Protocol (NTP).
Kebijakan pengendali Domain default	Tidak digunakan	Disediakan selama pembuatan domain, Kebijakan Direktori Aktif AWS Terkelola digunakan sebagai gantinya.

Jika Anda ingin melihat setelan masing-masingGPO, Anda dapat melihatnya dari instance Windows yang bergabung dengan domain dengan konsol manajemen kebijakan Grup (GPMC) diaktifkan.

Membuat akun lokal default berikut untuk manajemen Microsoft AD AWS Terkelola:

penting

Pastikan untuk menyimpan kata sandi admin. AWS Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil. Namun, Anda dapat mengatur ulang kata sandi dari AWS Directory Service konsol atau dengan menggunakan ResetUserPasswordAPI.

Admin

Admin adalah akun administrator direktori yang dibuat saat iklan Microsoft yang AWS dikelola pertama kali dibuat. Anda memberikan kata sandi untuk akun ini saat membuat iklan Microsoft AWS Terkelola. Akun ini terletak di bawah Pengguna OU (Contohnya, Corp > Pengguna). Anda menggunakan akun ini untuk mengelola Active Directory di AWS. Untuk informasi selengkapnya, lihat AWS Izin akun Administrator Microsoft AD yang dikelola.

AWS_11111111111

Nama akun apa pun yang dimulai dengan AWS diikuti dengan garis bawah dan terletak di OU AWS Cadangan adalah akun yang dikelola layanan. Akun yang dikelola layanan ini digunakan oleh AWS untuk berinteraksi dengan Active Directory. Akun-akun ini dibuat ketika AWS Directory Service Data diaktifkan dan dengan setiap AWS aplikasi baru diotorisasi Active Directory. Akun ini hanya dapat diakses oleh AWS layanan.

kata sandi akun krbtgt

Akun krbtgt memainkan peran penting dalam pertukaran tiket Kerberos yang digunakan oleh iklan Microsoft Terkelola Anda. AWS Akun krbtgt adalah akun khusus yang digunakan untuk enkripsi tiket pemberian tiket (TGT) Kerberos, dan memainkan peran penting dalam keamanan protokol otentikasi Kerberos. Untuk informasi selengkapnya, lihat dokumentasi Microsoft.

AWS secara otomatis memutar kata sandi akun krbtgt untuk AWS Microsoft AD Terkelola Anda dua kali setiap 90 hari. Ada masa tunggu 24 jam antara dua rotasi berturut-turut setiap 90 hari.