Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Guida introduttiva a AWS Managed Microsoft AD
<a name="ms_ad_getting_started"></a>

AWS Managed Microsoft AD crea un ambiente completamente gestito, Microsoft Active Directory integrato Cloud AWS e basato su Windows Server 2019 e opera ai livelli funzionali Forest e Domain di 2012 R2. Quando crei una directory con AWS Managed Microsoft AD, Directory Service crea due controller di dominio e aggiunge il servizio DNS per tuo conto. I controller di dominio vengono creati in diverse sottoreti in un Amazon VPC. Questa ridondanza aiuta a garantire che la directory rimanga accessibile anche in caso di errore. Se hai bisogno di più controller dei domini, puoi aggiungerli più tardi. Per ulteriori informazioni, consulta [Implementazione di controller di dominio aggiuntivi per Managed AWS Microsoft AD](ms_ad_deploy_additional_dcs.md).

Per una demo e una panoramica di AWS Managed Microsoft AD, guarda il YouTube video seguente.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla)


**Topics**
+ [Prerequisiti per la creazione di un AWS Managed Microsoft AD](#ms_ad_getting_started_prereqs)
+ [AWS IAM Identity Center prerequisiti](#prereq_aws_sso_ms_ad)
+ [Prerequisiti dell'autenticazione a più fattori](#prereq_mfa_ad)
+ [Creazione del tuo AWS Managed Microsoft AD](#ms_ad_getting_started_create_directory)
+ [Cosa viene creato con AWS Managed Microsoft AD](ms_ad_getting_started_what_gets_created.md)
+ [AWS Account Microsoft AD Administrator gestito e autorizzazioni di gruppo](ms_ad_getting_started_admin_account.md)

## Prerequisiti per la creazione di un AWS Managed Microsoft AD
<a name="ms_ad_getting_started_prereqs"></a>

Per creare un Microsoft AD Active Directory AWS gestito, è necessario un Amazon VPC con quanto segue: 
+ Almeno due sottoreti. Ciascuna sottorete deve trovarsi in una zona di disponibilità diversa e deve appartenere allo stesso tipo di rete.

  Puoi usarlo IPv6 per il tuo VPC. Per ulteriori informazioni, consulta il [IPv6 supporto per il tuo VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) nella Guida per l'*utente di Amazon Virtual Private Cloud*.
+ Il VPC deve disporre di una tenancy hardware predefinita.
+ Non è possibile creare un AWS Managed Microsoft AD in un VPC utilizzando gli indirizzi nello spazio degli indirizzi 198.18.0.0/15.

Se è necessario integrare il dominio Microsoft AD AWS gestito con un dominio Active Directory locale esistente, è necessario che i livelli di funzionalità Forest e Domain per il dominio locale siano impostati su Windows Server 2003 o versioni successive.

Directory Service utilizza una struttura a due VPC. Le istanze EC2 che compongono la tua directory vengono eseguite all'esterno del tuo AWS account e sono gestite da. AWS Hanno due schede di rete, `ETH0` e `ETH1`. `ETH0` è la scheda di gestione ed è al di fuori del tuo account. `ETH1` viene creata all'interno dell'account. 

L'intervallo IP di gestione della ETH0 rete della directory è 198.18.0.0/15.

Per un tutorial su come creare l' AWS ambiente e AWS Managed Microsoft AD, vedi[AWS Tutorial gestiti per laboratori di test Microsoft AD](ms_ad_tutorial_test_lab.md).

## AWS IAM Identity Center prerequisiti
<a name="prereq_aws_sso_ms_ad"></a>

Se prevedi di utilizzare IAM Identity Center con AWS Managed Microsoft AD, devi assicurarti che quanto segue sia vero:
+ La directory AWS Managed Microsoft AD è configurata nell'account di gestione dell' AWS organizzazione.
+ L'istanza di IAM Identity Center si trova nella stessa regione in cui è configurata la directory AWS Managed Microsoft AD. 

Per ulteriori informazioni, consulta i [prerequisiti di IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html) nella *Guida per l'AWS IAM Identity Center utente*.

## Prerequisiti dell'autenticazione a più fattori
<a name="prereq_mfa_ad"></a>

Per supportare l'autenticazione a più fattori con la directory AWS Managed Microsoft AD, è necessario configurare il server RADIUS ([Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS)) locale o basato sul cloud nel modo seguente in modo che possa accettare le richieste dalla directory Managed AWS Microsoft AD in. AWS

1. Sul tuo server RADIUS, crea due client RADIUS per rappresentare entrambi i controller di dominio Microsoft AD AWS gestiti (DCs) in AWS. È necessario configurare entrambi i client utilizzando i seguenti parametri comuni (il tuo server RADIUS può variare):
   + **Indirizzo (DNS o IP)**: è l'indirizzo DNS di uno dei Managed AWS Microsoft AD. DCs Entrambi gli indirizzi DNS sono disponibili nella AWS Directory Service Console nella pagina **Dettagli** della directory Microsoft AD AWS gestita in cui si prevede di utilizzare MFA. Gli indirizzi DNS visualizzati rappresentano gli indirizzi IP di entrambi i AWS Managed Microsoft AD DCs utilizzati da AWS.
**Nota**  
Se il tuo server RADIUS supporta gli indirizzi DNS, è necessario creare solo una configurazione del client RADIUS. Altrimenti, è necessario creare una configurazione client RADIUS per ogni AWS Managed Microsoft AD DC.
   + **Numero di porta**: configura il numero di porta per la quale il server RADIUS accetta le connessioni ai client RADIUS. La porta RADIUS standard è 1812.
   + **Segreto condiviso**: digita o genera un segreto condiviso che il server RADIUS utilizzerà per connettersi ai client RADIUS.
   + **Protocollo**: potrebbe essere necessario configurare il protocollo di autenticazione tra AWS Managed Microsoft AD DCs e il server RADIUS. I protocolli supportati sono PAP, CHAP MS- CHAPv1 e MS-. CHAPv2 MS- CHAPv2 è consigliato perché offre il livello di sicurezza più elevato tra le tre opzioni.
   + **Nome dell'applicazione**: questa operazione potrebbe essere facoltativa in alcuni server RADIUS e in genere identifica l'applicazione nei messaggi o nei report.

1. Configurate la rete esistente per consentire il traffico in entrata dai client RADIUS (indirizzi DCs DNS Microsoft AD AWS gestiti, vedere il passaggio 1) alla porta del server RADIUS.

1. Aggiungi una regola al gruppo di sicurezza Amazon EC2 nel tuo dominio AWS Microsoft AD gestito che consenta il traffico in entrata dall'indirizzo DNS e dal numero di porta del server RADIUS definiti in precedenza. Per ulteriori informazioni, consulta [Aggiunta di regole a un gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) nella *Guida per l'utente di EC2*.

Per ulteriori informazioni sull'utilizzo di AWS Managed Microsoft AD con MFA, vedere. [Abilitazione dell'autenticazione a più fattori per AWS Managed Microsoft AD](ms_ad_mfa.md) 

## Creazione del tuo AWS Managed Microsoft AD
<a name="ms_ad_getting_started_create_directory"></a>

Per creare un nuovo AWS Managed Microsoft AD Active Directory, effettuare le seguenti operazioni. Prima di iniziare la procedura, assicurati di soddisfare i prerequisiti illustrati in [Prerequisiti per la creazione di un AWS Managed Microsoft AD](#ms_ad_getting_started_prereqs). 

**Per creare un AWS Managed Microsoft AD**

1. Nel riquadro di navigazione della [Console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), scegli **Directory**, quindi seleziona **Configura directory**.

1. Nella pagina **Seleziona il tipo di directory**, scegli **Microsoft AD gestito da AWS **, quindi seleziona **Successivo**.

1. Nella pagina **Enter directory information (Inserisci le informazioni sulla directory)** inserisci le seguenti informazioni:  
**Edizione**  
Scegli tra la **Standard Edition** o l'**Enterprise Edition** di AWS Managed Microsoft AD. Per ulteriori informazioni sulle edizioni, consulta [Servizio di directory AWS per Microsoft Active Directory](what_is.md#microsoftad).   
**Nome DNS directory**  
Il nome completo della directory, ad esempio `corp.example.com`.  
Se prevedi di utilizzare Amazon Route 53 for DNS, il nome di dominio del tuo AWS Managed Microsoft AD deve essere diverso dal nome di dominio Route 53. Possono verificarsi problemi di risoluzione DNS se Route 53 e AWS Managed Microsoft AD condividono lo stesso nome di dominio.  
**Nome NetBIOS della directory**  
Nome breve per la directory, ad esempio `CORP`.  
**Descrizione della directory**  
Descrizione opzionale della directory. Questa descrizione può essere modificata dopo aver creato AWS Managed Microsoft AD.  
**Password amministratore**  
La password dell'amministratore della directory. Con il processo di creazione della directory viene generato un account amministratore con nome utente `Admin` e questa password. Puoi modificare la password dell'amministratore dopo aver creato il tuo AWS Managed Microsoft AD.  
Nella password non può essere inclusa la parola "admin".   
La password dell'amministratore della directory applica la distinzione tra maiuscole e minuscole e deve contenere tra 8 e 64 caratteri. Deve anche contenere un carattere di almeno tre delle seguenti quattro categorie:  
   + Lettere minuscole (a-z)
   + Lettere maiuscole (A-Z)
   + Numeri (0-9)
   + Caratteri non alfanumerici (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)  
**Conferma la password**  
Digitare di nuovo la password dell'amministratore.  
**(Facoltativo) Gestione di utenti e gruppi**  
Per abilitare AWS la gestione di utenti e gruppi di Microsoft AD gestita da Console di gestione AWS, selezionare **Gestisci la gestione di utenti e gruppi in Console di gestione AWS**. Per ulteriori informazioni su come utilizzare la gestione di utenti e gruppi, vedere[AWS Gestisci utenti e gruppi di Microsoft AD gestiti con Console di gestione AWS AWS CLI, o AWS Strumenti per PowerShell](ms_ad_manage_users_groups_procedures.md).

1. Nella pagina **Choose VPC and subnets (Scegli VPC e sottoreti)** fornire le seguenti informazioni, quindi selezionare **Next (Successivo)**.  
**VPC**  
Selezionare il VPC per la directory.  
**Tipo di rete**  
Il sistema di indirizzamento IP (Internet Protocol) associato al VPC e alle sottoreti.  
Seleziona il blocco CIDR associato al tuo VPC esistente. Le risorse nella sottorete possono essere configurate per utilizzare IPv4 solo, IPv6 solo o entrambi IPv4 e IPv6 (dual-stack). Per ulteriori informazioni, [consulta la sezione Confronta IPv4 e IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html) nella *Amazon Virtual Private Cloud User Guide*.  
**Sottoreti**  
Seleziona le sottoreti per i controller di dominio. Le due sottoreti devono trovarsi in diverse zone di disponibilità. 

1. Nella pagina **Review & create (Rivedi e crea)**, esaminare le informazioni relative alla directory ed eseguire eventuali modifiche. Quando le informazioni sono corrette, scegli **Create Directory (Crea directory)**. La creazione di una directory richiede dai 20 ai 40 minuti. Una volta creato, il valore **Status** cambia in **Active** (Attivo).

Per ulteriori informazioni su ciò che viene creato con AWS Managed Microsoft AD, consulta quanto segue:
+ [Cosa viene creato con AWS Managed Microsoft AD](ms_ad_getting_started_what_gets_created.md)
+ [AWS Account Microsoft AD Administrator gestito e autorizzazioni di gruppo](ms_ad_getting_started_admin_account.md)

**Articoli del blog AWS sulla sicurezza correlati**
+ [Come delegare l'amministrazione della directory AWS Managed Microsoft AD agli utenti di Active Directory locali](https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/)
+ [Come configurare politiche di password ancora più rigorose per soddisfare gli standard di sicurezza utilizzando Directory ServiceAWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
+ [Come aumentare la ridondanza e le prestazioni di Directory Service for Managed AWS Microsoft AD aggiungendo controller di dominio](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/)
+ [Come abilitare l'uso di desktop remoti implementando Microsoft Remote Desktop Licensing Manager su Managed Microsoft AD AWS](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/)
+ [Come accedere all' Console di gestione AWS utilizzo di AWS Managed Microsoft AD e alle credenziali locali](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
+ [Come abilitare l'autenticazione a più fattori per AWS i servizi utilizzando AWS Managed Microsoft AD e credenziali locali](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
+ [Come accedere facilmente ai AWS servizi utilizzando Active Directory locale](https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/)

# Cosa viene creato con AWS Managed Microsoft AD
<a name="ms_ad_getting_started_what_gets_created"></a>

Quando crei un Active Directory con AWS Managed Microsoft AD, Directory Service esegue le seguenti attività per tuo conto:
+ crea e associa automaticamente una interfaccia di rete elastica (ENI) a ciascuno dei controller di dominio. Ciascuno di ENIs questi è essenziale per la connettività tra il VPC e i controller di Directory Service dominio e non deve mai essere eliminato. *È possibile identificare tutte le interfacce di rete riservate all'uso Directory Service mediante la descrizione: "interfaccia di rete AWS creata per directory directory-id».* Per ulteriori informazioni, consulta [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nella *Amazon EC2* User Guide. Il server DNS predefinito di AWS Managed Microsoft AD Active Directory è il server DNS VPC at Classless Inter-Domain Routing (CIDR) \$12. Per ulteriori informazioni, consulta [Amazon DNS server](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS) nella *Amazon VPC* User Guide.
**Nota**  
Per impostazione predefinita, i controller di dominio vengono distribuiti in due zone di disponibilità in una regione e collegati al tuo Amazon VPC (VPC). I backup vengono eseguiti automaticamente una volta al giorno e i volumi Amazon EBS (EBS) sono crittografati per garantire che i dati siano protetti anche quando sono inattivi. Iin caso di guasto, i controller di dominio vengono sostituiti automaticamente nella stessa zona di disponibilità utilizzando lo stesso indirizzo IP ed è possibile eseguire un ripristino di emergenza completo utilizzando il backup più recente.
+ Effettua il provisioning di Active Directory all'interno del VPC in utilizzando due controller dei domini per la tolleranza ai guasti e un'alta disponibilità. È possibile eseguire il provisioning di più controller di dominio per una maggiore resilienza e prestazioni dopo che la directory è stata creata correttamente ed è [attiva](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html). Per ulteriori informazioni, consulta [Implementazione di controller di dominio aggiuntivi per Managed AWS Microsoft AD](ms_ad_deploy_additional_dcs.md).
**Nota**  
AWS non consente l'installazione di agenti di monitoraggio sui controller di dominio Microsoft AD AWS gestiti.
+ Crea un [gruppo AWS di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) *sg-1234567890abcdef0* che stabilisce le regole di rete per il traffico in entrata e in uscita dai controller di dominio. La regola in uscita predefinita consente tutto il traffico verso tutti gli indirizzi. IPv4 Le regole in entrata predefinite consentono solo il traffico attraverso le porte richieste da Active Directory dal blocco IPv4 CIDR primario associato all'hosting VPC per il tuo Managed AWS Microsoft AD. Per una maggiore sicurezza, alle ENIs creazioni non è IPs associato Elastic e non sei autorizzato ad associare un IP elastico a tali elementi. ENIs Pertanto, per impostazione predefinita, l'unico traffico in entrata che può comunicare con AWS Managed Microsoft AD è il VPC locale. È possibile modificare le regole del gruppo di sicurezza per consentire sorgenti di traffico aggiuntive, ad esempio da altre fonti peer VPCs o CIDRs raggiungibili tramite VPN. Usa la massima cautela se tenti di modificare queste regole poiché potresti causare l'interruzione delle comunicazioni con i controller di dominio. Per ulteriori informazioni, consultare [AWS Best practice gestite per Microsoft AD](ms_ad_best_practices.md) e [Miglioramento della configurazione di sicurezza della rete AWS Managed Microsoft AD](ms_ad_network_security.md).

  Puoi utilizzare [gli elenchi di prefissi]() per gestire i blocchi CIDR all'interno delle regole del gruppo di sicurezza. Gli elenchi di prefissi semplificano la gestione e la configurazione dei gruppi di sicurezza e delle tabelle di routing. È possibile consolidare più blocchi CIDR con la stessa porta e gli stessi protocolli per scalare il traffico di rete.
  + In un Windows ambiente, i client comunicano spesso tramite [Server Message Block (SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) o la porta 445. Questo protocollo facilita varie azioni come la condivisione di file e stampanti e la comunicazione generale di rete. Vedrai il traffico dei client sulla porta 445 verso le interfacce di gestione dei controller di dominio Microsoft AD AWS gestiti.

    Questo traffico si verifica quando i client SMB si affidano alla risoluzione dei nomi DNS (porta 53) e NetBIOS (porta 138) per individuare le risorse del dominio AWS Microsoft AD gestito. Questi client vengono indirizzati a qualsiasi interfaccia disponibile sui controller di dominio quando individuano le risorse del dominio. Questo comportamento è previsto e si verifica spesso in ambienti con più adattatori di rete e in cui [SMB Multichannel](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11)) consente ai client di stabilire connessioni tra diverse interfacce per migliorare le prestazioni e la ridondanza.

  Le seguenti regole del gruppo di sicurezza vengono create per impostazione predefinita: AWS 

  **Regole in entrata**  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)

  **Regole in uscita**  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
+ Per ulteriori informazioni sulle porte e i protocolli utilizzati da Active Directory, vedi [Panoramica del servizio e requisiti delle porte di rete per Windows](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports) nella Microsoft documentazione.
+ Crea un account amministratore della directory con nome utente Admin e la password specificata. Questo account si trova in Users OU (Ad esempio, Corp > Users). Utilizzi questo account per gestire la tua directory in. Cloud AWS Per ulteriori informazioni, consulta [AWS Account Microsoft AD Administrator gestito e autorizzazioni di gruppo](ms_ad_getting_started_admin_account.md).
**Importante**  
Assicurati di salvare questa password. Directory Service non memorizza questa password e non può essere recuperata. Tuttavia, è possibile reimpostare una password dalla Directory Service console o utilizzando l'[ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API.
+ Crea le seguenti tre unità organizzative (OUs) nella radice del dominio:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
+ Crea i seguenti gruppi inAWS Delegated Groups OU:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
**Nota**  
È possibile aggiungerliAWS Delegated Groups.
+ Crea e applica i seguenti oggetti di policy di gruppo (GPOs):
**Nota**  
Non disponete delle autorizzazioni necessarie per eliminarli, modificarli o scollegarli. GPOs Ciò è dovuto alla progettazione in quanto sono riservati all'uso AWS . Se necessario, puoi collegarli a OUs ciò che controlli.   
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)

  Per visualizzare le impostazioni di ciascun GPO, è possibile visualizzarle da un'istanza di Windows aggiunta a un dominio con la [Console di gestione delle policy di gruppo (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)) attivata.
+ Crea quanto segue default local accounts per la gestione di AWS Managed Microsoft AD:
**Importante**  
Assicurati di salvare la password dell'amministratore. Directory Service non memorizza questa password e non può essere recuperata. Tuttavia, è [possibile reimpostare una password dalla Directory Service console](ms_ad_manage_users_groups_reset_password.md) o utilizzando l'[ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API.  
**Admin**  
Adminviene directory administrator account creato quando AWS Managed Microsoft AD viene creato per la prima volta. Fornisci una password per questo account quando crei un AWS Managed Microsoft AD. Questo account si trova sotto Users OU (ad esempio, Corp > Users). Questo account viene utilizzato per gestire Active Directory in. AWS Per ulteriori informazioni, consulta [AWS Account Microsoft AD Administrator gestito e autorizzazioni di gruppo](ms_ad_getting_started_admin_account.md).  
**AWS*\$1*11111111111****  
Qualsiasi nome di account che inizia con AWS seguito da un trattino basso e si trova in AWS Reserved OU è un account gestito dal servizio. Questo account gestito dal servizio viene utilizzato da per interagire con Active AWS Directory. Questi account vengono creati quando AWS Directory Service Data è abilitato e con ogni nuova AWS applicazione autorizzata su Active Directory. Questi account sono accessibili solo dai AWS servizi.  
**krbtgt account**  
krbtgt accountSvolge un ruolo importante negli scambi di ticket Kerberos utilizzati dal tuo Managed AWS Microsoft AD. krbtgt accountSi tratta di un account speciale utilizzato per la crittografia Kerberos ticket-granting ticket (TGT) e svolge un ruolo cruciale nella sicurezza del protocollo di autenticazione Kerberos. Per ulteriori informazioni, consulta [la documentazione Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account).   
AWS ruota automaticamente la krbtgt account password per AWS Managed Microsoft AD due volte ogni 90 giorni. C'è un periodo di attesa di 24 ore tra le due rotazioni consecutive ogni 90 giorni.

Per ulteriori informazioni sull'account amministratore e sugli altri account creati da Active Directory, consulta [Microsoftla documentazione](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts).

# AWS Account Microsoft AD Administrator gestito e autorizzazioni di gruppo
<a name="ms_ad_getting_started_admin_account"></a>

Quando si crea una AWS directory Directory Service per Microsoft Active Directory, AWS crea un'unità organizzativa (OU) per archiviare tutti i gruppi e gli account AWS correlati. Per ulteriori informazioni sull'UO, consulta [Cosa viene creato con AWS Managed Microsoft AD](ms_ad_getting_started_what_gets_created.md). L'UO include l'account Admin. L'account Admin dispone delle autorizzazioni per eseguire le seguenti attività amministrative comuni per l'UO:
+ aggiunta, aggiornamento o eliminazione di utenti, gruppi e computer; Per ulteriori informazioni, consulta [Gestione di utenti e gruppi in AWS Managed Microsoft AD](ms_ad_manage_users_groups.md). 
+ Aggiunta di risorse al tuo dominio, come file o server di stampa, quindi assegnazione delle autorizzazioni per tali risorse a utenti e gruppi dell'UO;
+ Crea contenitori aggiuntivi OUs e.
+ Delega l'autorità dei contenitori aggiuntivi OUs e. Per ulteriori informazioni, consulta [Delega dei privilegi di accesso alle directory per Managed AWS Microsoft AD](directory_join_privileges.md).
+ creazione e collegamento policy di gruppo;
+ ripristino degli oggetti eliminati dal cestino riciclaggio di Active Directory;
+ Esegui i PowerShell moduli Active Directory e DNS sul servizio Web Active Directory.
+ creazione e configurazione degli account del servizio gestito del gruppo; Per ulteriori informazioni, consulta [Account del servizio gestito del gruppo](ms_ad_key_concepts.md#ms_ad_key_concepts_gmsa).
+ configurazione della delega vincolata Kerberos. Per ulteriori informazioni, consulta [Delega vincolata Kerberos](ms_ad_key_concepts.md#ms_ad_key_concepts_kerberos).

L'account Admin ha inoltre i diritti per eseguire le seguenti attività estese a tutto il dominio:
+ gestione delle configurazioni DNS (aggiunta, eliminazione o aggiornamento di record, zone e server d'inoltro);
+ visualizzazione di log di eventi DNS;
+ visualizzazione di log di eventi di sicurezza.

Sono consentite all'account Admin solo le operazioni elencate di seguito. L'account Admin non dispone inoltre delle autorizzazioni per nessuna operazione relativa alla directory al di fuori dell'UO specifica, ad esempio la UO padre.

**Considerazioni**
+ AWS Gli amministratori di dominio hanno accesso amministrativo completo a tutti i domini ospitati su. AWS Consulta il contratto AWS e le [domande frequenti sulla protezione AWS dei dati](https://aws.amazon.com/compliance/data-privacy-faq/) per ulteriori informazioni su come vengono AWS gestiti i contenuti, incluse le informazioni sulle directory, archiviati sui AWS sistemi.
+ Si consiglia di non eliminare o rinominare questo account. Se non desideri più utilizzare l'account, ti consigliamo di impostare una password lunga (al massimo 64 caratteri casuali) e quindi disabilitare l'account. 

**Nota**  
AWS ha il controllo esclusivo degli utenti e dei gruppi con privilegi di Domain Administrator ed Enterprise Administrator. Ciò consente di AWS eseguire la gestione operativa della directory. 

## Account con privilegi Enterprise e Domain Administrator
<a name="privileged_accounts"></a>

AWS ruota automaticamente la password di amministratore integrata in una password casuale ogni 90 giorni. Ogni volta che viene richiesta la password di amministratore integrata per uso umano, viene creato un AWS ticket e registrato con il team. Directory Service Le credenziali dell'account sono crittografate e gestite su canali sicuri. Inoltre, le credenziali dell'account Administrator possono essere richieste solo dal team di gestione. Directory Service 

Per eseguire la gestione operativa della directory, AWS ha il controllo esclusivo degli account con privilegi di amministratore aziendale e amministratore di dominio. Ciò include il controllo esclusivo dell'account amministratore di Active Directory. AWS protegge questo account automatizzando la gestione delle password tramite l'uso di un archivio di password. Durante la rotazione automatica della password dell'amministratore, AWS crea un account utente temporaneo e gli concede i privilegi di amministratore di dominio. Questo account temporaneo viene usato come un back-up in caso di errore nella rotazione delle password dell'account amministratore. Dopo aver ruotato AWS con successo la password dell'amministratore, AWS elimina l'account amministratore temporaneo.

Normalmente AWS gestisce la directory interamente tramite automazione. Nel caso in cui un processo di automazione non sia in grado di risolvere un problema operativo, AWS potrebbe essere necessario che un tecnico dell'assistenza acceda al controller di dominio (DC) per eseguire la diagnosi. In questi rari casi, AWS implementa un request/notification sistema per concedere l'accesso. In questo processo, AWS l'automazione crea un account utente a tempo limitato nella directory con autorizzazioni di amministratore di dominio. AWS associa l'account utente al tecnico incaricato di lavorare sulla vostra rubrica. AWS registra questa associazione nel nostro sistema di log e fornisce all'ingegnere le credenziali da utilizzare. Tutte le azioni intrapreprese dall'ingegnere vengono registrate nel log di eventi di Windows. Quando trascorre l'intervallo di tempo allocato, l’automazione elimina l'account utente.

È possibile monitorare le operazioni di un account amministratore tramite la funzionalità di inoltro di log della directory. Questa funzionalità consente di inoltrare gli eventi di AD Security al CloudWatch sistema in cui è possibile implementare soluzioni di monitoraggio. Per ulteriori informazioni, consulta [Attivazione dell'inoltro CloudWatch dei log di Amazon Logs per Managed Microsoft AD AWS](ms_ad_enable_log_forwarding.md).

Gli eventi di sicurezza IDs 4624, 4672 e 4648 vengono tutti registrati quando qualcuno accede a un DC in modo interattivo. È possibile visualizzare il registro degli eventi di Windows Security di ogni DC utilizzando il Visualizzatore eventi Microsoft Management Console (MMC) da un computer Windows aggiunto al dominio. Puoi anche [Attivazione dell'inoltro CloudWatch dei log di Amazon Logs per Managed Microsoft AD AWS](ms_ad_enable_log_forwarding.md) inviare tutti i registri degli eventi di sicurezza ai CloudWatch registri del tuo account.

Occasionalmente potresti vedere utenti creati ed eliminati all'interno dell'unità organizzativa AWS riservata. AWS è responsabile della gestione e della sicurezza di tutti gli oggetti in questa unità organizzativa e in qualsiasi altra unità organizzativa o contenitore a cui non abbiamo delegato le autorizzazioni di accesso e gestione dell'utente. Puoi visualizzare creazioni ed eliminazioni in quell'unità organizzativa. Questo perché Directory Service utilizza l'automazione per ruotare regolarmente la password dell'amministratore di dominio. Quando la password viene ruotata, viene creato un backup in caso di errore. Una volta completata la rotazione, l'account di backup viene eliminato automaticamente. Inoltre, nel raro caso in cui sia necessario un accesso interattivo DCs per la risoluzione dei problemi, viene creato un account utente temporaneo da utilizzare da un Directory Service tecnico. Una volta che un tecnico avrà completato il lavoro, l'account utente temporaneo verrà eliminato. Tieni presente che ogni volta che vengono richieste credenziali interattive per una directory, il team di Directory Service gestione viene avvisato.