Cosa viene creato con AWS Managed Microsoft AD - AWS Directory Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Cosa viene creato con AWS Managed Microsoft AD

Quando crei un Active Directory con AWS Managed Microsoft AD, AWS Directory Service esegue le seguenti attività per conto dell'utente:

  • Crea e associa automaticamente un'elastic network interface (ENI) a ciascuno dei tuoi controller di dominio. Ciascuno di questi ENIs è essenziale per la connettività tra l'utente VPC e i controller di AWS Directory Service dominio e non deve mai essere eliminato. È possibile identificare tutte le interfacce di rete riservate all'uso AWS Directory Service mediante la descrizione: "interfaccia di rete AWS creata per directory directory-id». Per ulteriori informazioni, consulta Elastic Network Interfaces nella Amazon EC2 User Guide. Il DNS server predefinito di AWS Managed Microsoft AD Active Directory è il VPC DNS server di Classless Inter-Domain Routing () +2. CIDR Per ulteriori informazioni, consulta Amazon DNS server nella Amazon VPC User Guide.

    Nota

    Per impostazione predefinita, i controller di dominio vengono distribuiti in due zone di disponibilità in una regione e collegati al tuo Amazon VPC ()VPC. I backup vengono eseguiti automaticamente una volta al giorno e i volumi Amazon EBS (EBS) vengono crittografati per garantire che i dati siano protetti anche quando sono inattivi. Iin caso di guasto, i controller di dominio vengono sostituiti automaticamente nella stessa zona di disponibilità utilizzando lo stesso indirizzo IP ed è possibile eseguire un ripristino di emergenza completo utilizzando il backup più recente.

  • Disposizioni Active Directory all'interno dell'VPCutilizzo di due controller di dominio per la tolleranza agli errori e l'elevata disponibilità. È possibile eseguire il provisioning di più controller di dominio per una maggiore resilienza e prestazioni dopo che la directory è stata creata correttamente ed è attiva. Per ulteriori informazioni, consulta Implementazione di controller di dominio aggiuntivi per Managed AWS Microsoft AD.

    Nota

    AWS non consente l'installazione di agenti di monitoraggio sui controller di dominio Microsoft AD AWS gestiti.

  • Crea un gruppo AWS di sicurezza che stabilisce le regole di rete per il traffico in entrata e in uscita dai controller di dominio. La regola in uscita predefinita consente tutto il traffico ENIs o le istanze collegate al gruppo di sicurezza creato. AWS Le regole in entrata predefinite consentono solo il traffico attraverso le porte richieste da Active Directory dal tuo VPC CIDR per il tuo AWS Managed Microsoft AD. Queste regole non introducono vulnerabilità di sicurezza in quanto il traffico verso i controller di dominio è limitato al traffico proveniente dall'utenteVPC, da altri peer o dalle reti a cui si è connessi tramite AWS Transit AWS Direct Connect Gateway o Virtual Private VPCs Network. Per una maggiore sicurezza, ai ENIs file creati non è IPs associato Elastic e non si dispone dell'autorizzazione per associare un IP elastico a tali elementi. ENIs Pertanto, l'unico traffico in entrata che può comunicare con AWS Managed Microsoft AD è il traffico locale VPC e VPC indirizzato. È possibile modificare le regole del gruppo AWS di sicurezza. Usa la massima cautela se tenti di modificare queste regole poiché potresti causare l'interruzione delle comunicazioni con i controller di dominio. Per ulteriori informazioni, consulta AWS Best practice gestite per Microsoft AD. Le seguenti regole del gruppo di AWS sicurezza vengono create per impostazione predefinita:

    Regole in entrata

    Protocollo Intervallo porte Origine Tipo di traffico Utilizzo di Active Directory
    ICMP N/D AWS Microsoft AD gestito VPC IPv4 CIDR Ping LDAPResta in vita, DFS
    TCP & UDP 53 AWS Microsoft AD gestito VPC IPv4 CIDR DNS Autenticazione utente e computer, risoluzione dei nomi, trust
    TCP & UDP 88 AWS Microsoft AD gestito VPC IPv4 CIDR Kerberos Autenticazione utente e computer, trust a livello di foresta
    TCP & UDP 389 AWS Microsoft AD gestito VPC IPv4 CIDR LDAP Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust
    TCP & UDP 445 AWS Microsoft AD gestito VPC IPv4 CIDR SMB / CIFS Replica, autenticazione utente e computer, policy di gruppo, trust
    TCP & UDP 464 AWS Microsoft AD gestito VPC IPv4 CIDR Kerberos cambia/imposta la password Autenticazione utente e computer, replica, trust
    TCP 135 AWS Microsoft AD gestito VPC IPv4 CIDR Replica RPC, EPM
    TCP 636 AWS Microsoft AD gestito VPC IPv4 CIDR LDAP SSL Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust
    TCP 1024 - 65535 AWS Microsoft AD gestito VPC IPv4 CIDR RPC Replica, autenticazione utente e computer, policy di gruppo, trust
    TCP 3268 - 3269 AWS Microsoft AD gestito VPC IPv4 CIDR LDAPGC e LDAP GC SSL Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust
    UDP 123 AWS Microsoft AD gestito VPC IPv4 CIDR Ora di Windows Ora di Windows, trust
    UDP 138 AWS Microsoft AD gestito VPC IPv4 CIDR DFSN & NetLogon DFS, politica di gruppo
    Tutti Tutti AWS Microsoft AD gestito VPC IPv4 CIDR All Traffic

    Regole in uscita

    Protocollo Intervallo porte Destinazione Tipo di traffico Utilizzo di Active Directory
    Tutti Tutti 0.0.0.0/0 All Traffic

  • Per ulteriori informazioni sulle porte e sui protocolli utilizzati da Active Directory, vedi Panoramica del servizio e requisiti delle porte di rete per Windows in Microsoft documentazione.

  • Crea un account amministratore della directory con nome utente Admin e la password specificata. Questo account è disponibile nella UO Utenti (ad esempio, Corp > Utenti). Utilizzi questo account per gestire la tua directory nel AWS Cloud. Per ulteriori informazioni, consulta AWS Autorizzazioni gestite dell'account Microsoft AD Administrator.

    Importante

    Assicurati di salvare questa password. AWS Directory Service non memorizza questa password e non può essere recuperata. Tuttavia, è possibile reimpostare una password dalla AWS Directory Service console o utilizzando. ResetUserPasswordAPI

  • Crea le seguenti tre unità organizzative (OUs) nella radice del dominio:

    Nome UO Descrizione

    AWS Gruppi delegati

    		Memorizza tutti i gruppi che puoi utilizzare per delegare autorizzazioni AWS specifiche agli utenti.
    AWS È riservato Memorizza tutti gli account specifici di AWS gestione.
    <nomedominio> Il nome di questa unità organizzativa si basa sul BIOS nome di rete digitato durante la creazione della directory. Se non è stato specificato un BIOS nome di rete, per impostazione predefinita verrà utilizzata la prima parte del DNS nome della directory (ad esempio, nel caso di corp.example.com, il BIOS nome di rete sarà corp). Questa unità organizzativa è di proprietà AWS e contiene tutti gli oggetti di directory AWS relativi all'utente, sui quali è concesso il pieno controllo. Per impostazione predefinita, in questa unità organizzativa OUs esistono due figli: computer e utenti. Per esempio:

    • Corp

      • Computer

      • Utenti

  • Crea i seguenti gruppi nell'unità organizzativa Gruppi AWS delegati:

    Group name (Nome gruppo) Descrizione
    AWS Operatori di account delegati I membri di questo gruppo di sicurezza hanno limitate funzionalità di gestione dell'account, come la reimpostazione delle password

    AWS Amministratori delegati di attivazione basati su Active Directory

    I membri di questo gruppo di sicurezza possono creare oggetti di attivazione licenza per volumi Active Directory, il che consente alle aziende di attivare i computer tramite una connessione al loro dominio.
    AWS Aggiunta delegata di workstation agli utenti del dominio I membri di questo gruppo di sicurezza possono aggiungere 10 computer a un dominio
    AWS Amministratori delegati I membri di questo gruppo di sicurezza possono gestire AWS Managed Microsoft AD, avere il pieno controllo di tutti gli oggetti dell'unità organizzativa e possono gestire i gruppi contenuti nell'unità organizzativa AWS Delegated Groups.
    AWS Oggetti delegati autorizzati ad autenticare Ai membri di questo gruppo di sicurezza viene fornita la possibilità di autenticarsi sulle risorse del computer nell'unità organizzativa AWS riservata (necessaria solo per oggetti locali con trust abilitati per l'autenticazione selettiva).
    AWS Autenticazione delegata consentita ai controller di dominio Ai membri di questo gruppo di protezione viene fornita la possibilità di autenticare le risorse del computer nell'unità organizzativa controller di dominio (necessaria solo per gli oggetti locali con autenticazione selettiva abilitata Trusts).

    AWS Amministratori delegati a vita degli oggetti eliminati

    I membri di questo gruppo di sicurezza possono modificare l'DeletedObjectLifetimeoggetto MSDS-, che definisce per quanto tempo un oggetto eliminato sarà disponibile per il ripristino dal Cestino di AD.
    AWS Amministratori delegati del file system distribuito I membri di questo gruppo di sicurezza possono aggiungere e rimuovereFRS, DFS -R e spazi dei DFS nomi.
    AWS Amministratori delegati del sistema dei nomi di dominio I membri di questo gruppo di sicurezza possono gestire Active Directory in modo integrato. DNS
    AWS Amministratori delegati del Dynamic Host Configuration Protocol I membri di questo gruppo di sicurezza possono autorizzare i DHCP server Windows dell'azienda.
    AWS Amministratori delegati dell'Enterprise Certificate Authority I membri di questo gruppo di sicurezza possono distribuire e gestire l'infrastruttura dell'autorità di certificazione aziendale di Microsoft.
    AWS Amministratori dettagliati delegati delle politiche in materia di password I membri di questo gruppo di sicurezza possono modificare le policy delle password fine-grained create in precedenza.
    AWS Amministratori FSx delegati Ai membri di questo gruppo di sicurezza viene fornita la possibilità di gestire FSx le risorse Amazon.
    AWS Amministratori delegati delle politiche di gruppo I membri di questo gruppo di sicurezza possono eseguire attività di gestione delle policy di gruppo (creare, modificare, eliminare, collegare).
    AWS Amministratori delegati della delegazione Kerberos I membri di questo gruppo di sicurezza possono abilitare la delega su oggetti di computer e account utenti.
    AWS Amministratori delegati degli account di servizio gestito I membri di questo gruppo di sicurezza possono creare e cancellare account Managed Service.
    AWS Dispositivi delegati non conformi a MS NPRC Ai membri di questo gruppo di sicurezza verrà fornita l'esclusione dalla richiesta di comunicazioni sicure tra canali con i controller di dominio. Questo gruppo è destinato agli account computer.
    AWS Amministratori delegati del servizio di accesso remoto I membri di questo gruppo di sicurezza possono aggiungere e rimuovere RAS server dal gruppo RAS and IAS Servers.
    AWS Amministratori di Delegated Replicate Directory Changes I membri di questo gruppo di sicurezza possono sincronizzare le informazioni del profilo in Active Directory con Server. SharePoint
    AWS Amministratori di server delegati I membri di questo gruppo di sicurezza sono inclusi nel gruppo di amministratori locali in tutti i computer collegati al dominio
    AWS Amministratori delegati di siti e servizi I membri di questo gruppo di sicurezza possono rinominare l' Default-First-Site-Nameoggetto in Active Directory Sites and Services.
    AWS Amministratori delegati di gestione del sistema I membri di questo gruppo di sicurezza possono creare e gestire gli oggetti nel container System Management.
    AWS Amministratori delegati delle licenze di Terminal Server I membri di questo gruppo di sicurezza possono aggiungere e rimuovere server Terminal Server License dal gruppo di server Terminal Server License
    AWS Amministratori del suffisso del nome principale dell'utente delegato I membri di questo gruppo di sicurezza possono aggiungere e rimuovere i suffissi nome principali degli utenti
    Nota

    È possibile aggiungerli a questi AWS gruppi delegati.

  • Crea e applica i seguenti oggetti di policy di gruppo (GPOs):

    Nota

    Non disponete delle autorizzazioni necessarie per eliminarli, modificarli o scollegarli. GPOs Ciò è dovuto alla progettazione in quanto sono riservati all'uso AWS . Se necessario, puoi collegarli a OUs ciò che controlli.

    Nome policy di gruppo Si applica a Descrizione
    Policy dominio predefinita Domain Include password di dominio e policy Kerberos.
    ServerAdmins Tutti gli account computer controller non di dominio Aggiunge «AWS Delegated Server Administrators» come membro del gruppoBUILTIN\ Administrators.
    AWS Politica riservata: Utente AWS Account utente riservati Imposta le impostazioni di sicurezza consigliate su tutti gli account utente nell'unità organizzativa AWS riservata.
    AWS Politica gestita di Active Directory Tutti i controller di dominio Definisce le impostazioni di sicurezza consigliate su tutti i controller di dominio.
    TimePolicyNT5DS Tutti i controller non di PDCe dominio Imposta la politica temporale di tutti i controller non di PDCe dominio per utilizzare Windows Time ()NT5DS.
    TimePolicyPDC Il controller di PDCe dominio Imposta la politica temporale del controller di PDCe dominio per utilizzare Network Time Protocol (NTP).
    Policy controller di dominio predefinito Non utilizzato Fornito durante la creazione del dominio, al suo posto viene utilizzato AWS Managed Active Directory Policy.

    Se desideri visualizzare le impostazioni di ciascuno di essiGPO, puoi visualizzarle da un'istanza Windows aggiunta al dominio con la console di gestione dei criteri di gruppo (GPMC) abilitata.

  • Crea i seguenti account locali predefiniti per la gestione AWS gestita di Microsoft AD:

    Importante

    Assicurati di salvare la password dell'amministratore. AWS Directory Service non memorizza questa password e non può essere recuperata. Tuttavia, è possibile reimpostare una password dalla AWS Directory Service console o utilizzando. ResetUserPasswordAPI

    Admin

    L'amministratore è l'account dell'amministratore della directory creato quando AWS Managed Microsoft AD viene creato per la prima volta. Fornisci una password per questo account quando crei un AWS Managed Microsoft AD. Questo account è disponibile nella UO Utenti (ad esempio, Corp > Utenti). Questo account viene utilizzato per gestire i Active Directory nel AWS. Per ulteriori informazioni, consulta AWS Autorizzazioni gestite dell'account Microsoft AD Administrator.

    AWS_11111111111

    Qualsiasi nome di account che inizia con AWS seguito da un trattino basso e si trova in AWS Reserved OU è un account gestito dal servizio. Questo account gestito dal servizio viene utilizzato da per interagire con AWS Active Directory. Questi account vengono creati quando AWS Directory Service Data è abilitato e con ogni nuova AWS applicazione autorizzata su Active Directory. Questi account sono accessibili solo dai AWS servizi.

    password dell'account krbtgt

    L'account krbtgt svolge un ruolo importante negli scambi di biglietti Kerberos utilizzati dal tuo Managed AWS Microsoft AD. L'account krbtgt è un account speciale utilizzato per la crittografia Kerberos ticket-granting ticket (TGT) e svolge un ruolo cruciale nella sicurezza del protocollo di autenticazione Kerberos. Per ulteriori informazioni, consulta la documentazione Microsoft.

    AWS ruota automaticamente la password dell'account krbtgt per Managed AWS Microsoft AD due volte ogni 90 giorni. C'è un periodo di attesa di 24 ore tra le due rotazioni consecutive ogni 90 giorni.

Per ulteriori informazioni sull'account amministratore e su altri account creati da Active Directory, vedi Microsoft documentazione.