Conceitos básicos de AWS Microsoft AD gerenciado - AWS Directory Service
AWS Pré-requisitos gerenciados do Microsoft ADCrie seu AWS Microsoft AD gerenciadoO que é criado com o seu AWS Microsoft AD gerenciadoPermissões da conta de administrador

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos básicos de AWS Microsoft AD gerenciado

AWS O Microsoft AD gerenciado cria um ambiente totalmente gerenciado, Microsoft Active Directory no Nuvem AWS e é alimentado por Windows Server 2019 e opera nos níveis funcionais de 2012 R2 Forest e Domain. Quando você cria um diretório com AWS Microsoft AD gerenciado, AWS Directory Service cria dois controladores de domínio e adiciona o DNS serviço em seu nome. Os controladores de domínio são criados em diferentes sub-redes em uma Amazon. VPC Essa redundância ajuda a garantir que seu diretório permaneça acessível mesmo se ocorrer uma falha. Se precisar de mais controladores de domínio, você pode adicioná-los posteriormente. Para obter mais informações, consulte Implantar controladores de domínio adicionais.

AWS Pré-requisitos gerenciados do Microsoft AD

Para criar um AWS Microsoft AD gerenciado Active Directory, você precisa de uma Amazon VPC com o seguinte:

  • Pelo menos duas sub-redes. Cada uma das sub-redes deve estar em uma zona de disponibilidade diferente.

  • Eles VPC devem ter locação de hardware padrão.

  • Você não pode criar um AWS Gerenciou o Microsoft AD em um VPC usando endereços no espaço de endereço 198.18.0.0/15.

Se você precisar integrar seu AWS Domínio gerenciado do Microsoft AD com um domínio local existente Active Directory domínio, você deve ter os níveis funcionais de Floresta e Domínio para seu domínio local definidos como Windows Server 2003 ou superior.

AWS Directory Service usa uma VPC estrutura dupla. As EC2 instâncias que compõem seu diretório são executadas fora do seu AWS conta e são gerenciados por AWS. Eles têm dois adaptadores de rede ETH0 e. ETH1 ETH0é o adaptador de gerenciamento e existe fora da sua conta. ETH1é criado em sua conta.

O intervalo de IP de gerenciamento da rede ETH 0 do seu diretório é 198.18.0.0/15.

AWS IAM Identity Center Pré-requisitos

Se você planeja usar o IAM Identity Center com AWS Gerenciado pelo Microsoft AD, você precisa garantir que o seguinte seja verdadeiro:

  • Suas AWS O diretório gerenciado do Microsoft AD está configurado em seu AWS conta de gerenciamento da organização.

  • Sua instância do IAM Identity Center está na mesma região em que seu AWS O diretório gerenciado do Microsoft AD está configurado.

Para obter mais informações, consulte Pré-requisitos do IAM Identity Center no AWS IAM Identity Center Guia do usuário.

Pré-requisitos da autenticação multifator

Para oferecer suporte à autenticação multifatorial com seu AWS Diretório gerenciado do Microsoft AD, você deve configurar seu servidor de Serviço de Usuário Dial-In de Autenticação Remota (RADIUS) local ou baseado em nuvem da seguinte maneira para que ele possa aceitar solicitações de seu AWS Diretório gerenciado do Microsoft AD em AWS.

  1. No seu RADIUS servidor, crie dois RADIUS clientes para representar os dois AWS Controladores de domínio gerenciados do Microsoft AD (DCs) em AWS. Você deve configurar os dois clientes usando os seguintes parâmetros comuns (seu RADIUS servidor pode variar):

    • Endereço (DNSou IP): é o DNS endereço de um dos AWS Microsoft AD gerenciadoDCs. Ambos os DNS endereços podem ser encontrados no AWS Directory Service Console na página Detalhes do AWS Diretório gerenciado do Microsoft AD no qual você planeja usarMFA. Os DNS endereços exibidos representam os endereços IP de ambos os AWS Microsoft AD gerenciado DCs que é usado por AWS.

      nota

      Se o seu RADIUS servidor oferecer suporte a DNS endereços, você deverá criar somente uma configuração de RADIUS cliente. Caso contrário, você deverá criar uma configuração de RADIUS cliente para cada AWS Gerenciou o Microsoft AD DC.

    • Número da porta: configure o número da porta para a qual seu RADIUS servidor aceita conexões de RADIUS clientes. A RADIUS porta padrão é 1812.

    • Segredo compartilhado: digite ou gere um segredo compartilhado que o RADIUS servidor usará para se conectar aos RADIUS clientes.

    • Protocolo: talvez seja necessário configurar o protocolo de autenticação entre o AWS Gerenciou o Microsoft AD DCs e o RADIUS servidor. Os protocolos suportados são PAP CHAP MS- CHAPv1 e MS-CHAPv2. O MS- CHAPv2 é recomendado porque fornece a segurança mais forte das três opções.

    • Nome do aplicativo: isso pode ser opcional em alguns RADIUS servidores e geralmente identifica o aplicativo em mensagens ou relatórios.

  2. Configure sua rede existente para permitir o tráfego de entrada dos RADIUS clientes (AWS DCsDNSEndereços gerenciados do Microsoft AD, consulte a Etapa 1) na porta RADIUS do seu servidor.

  3. Adicione uma regra ao grupo de EC2 segurança da Amazon em seu AWS Domínio gerenciado do Microsoft AD que permite tráfego de entrada do DNS endereço do RADIUS servidor e do número da porta definidos anteriormente. Para obter mais informações, consulte Adicionar regras a um grupo de segurança no Guia EC2 do usuário.

Para obter mais informações sobre o uso AWS Gerenciou o Microsoft AD comMFA, consulteHabilite a autenticação multifator para o AWS Managed Microsoft AD.

Crie seu AWS Microsoft AD gerenciado

Para criar um novo AWS Microsoft AD gerenciado Active Directory, execute as etapas a seguir. Antes de iniciar este procedimento, verifique se você concluiu os pré-requisitos identificados em AWS Pré-requisitos gerenciados do Microsoft AD.

Para criar um AWS Microsoft AD gerenciado

  1. No AWS Directory Service painel de navegação do console, escolha Diretórios e, em seguida, escolha Configurar diretório.

  2. Na página Selecionar tipo de diretório, escolha AWS Gerenciou o Microsoft AD e, em seguida, escolha Avançar.

  3. Na página Enter directory information (Inserir informações do diretório), forneça as seguintes informações:

    Edição

    Escolha entre a Edição Standard ou a Edição Enterprise do AWS Microsoft AD gerenciado. Para obter mais informações sobre edições, consulte AWS Directory Service para Microsoft Active Directory.

    DNSNome do diretório

    O nome completo do diretório, como corp.example.com.

    nota

    Se você planeja usar o Amazon Route 53 paraDNS, o nome de domínio do seu AWS O Microsoft AD gerenciado deve ser diferente do seu nome de domínio do Route 53. DNSproblemas de resolução podem ocorrer se o Route 53 e AWS O Microsoft AD gerenciado compartilha o mesmo nome de domínio.

    BIOSNome da rede do diretório

    O nome curto do diretório, como CORP.

    Descrição do diretório

    Uma descrição opcional do diretório.

    Senha do Admin

    A senha do administrador do diretório. O processo de criação do diretório cria uma conta de administrador com o nome de usuário Admin e essa senha.

    A senha não pode incluir a palavra "admin".

    A senha do administrador do diretório diferencia maiúsculas de minúsculas e deve ter de 8 a 64 caracteres, inclusive. Ela também precisa conter pelo menos um caractere de três das quatro categorias a seguir:

    • Letras minúsculas (a-z)

    • Letras maiúsculas (A-Z)

    • Números (0-9)

    • Caracteres não alfanuméricos (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirmar senha

    Digite a senha do administrador novamente.

    (Opcional) Gerenciamento de usuários e grupos

    Para habilitar AWS Gerenciou o gerenciamento de usuários e grupos do Microsoft AD a partir do AWS Management Console, selecione Gerenciar gerenciamento de usuários e grupos na AWS Management Console. Para obter mais informações sobre como usar o gerenciamento de usuários e grupos, consulteGerencie usuários e grupos com o AWS Management Console.

  4. Na página Escolher VPC e sub-redes, forneça as informações a seguir e escolha Avançar.

    VPC

    O VPC para o diretório.

    Subredes

    Selecione as sub-redes para os controladores de domínio. As duas sub-redes deve estar em diferentes zonas de disponibilidade.

  5. Na página Review & create (Revisar e criar), analise as informações do diretório e faça as alterações necessárias. Quando as informações estiverem corretas, escolha Create directory (Criar diretório). A criação do diretório leva de 20 a 40 minutos. Depois de criado, o valor de Status é alterado para Ativo.

O que é criado com o seu AWS Microsoft AD gerenciado

Quando você cria um Active Directory with AWS Microsoft AD gerenciado, AWS Directory Service executa as seguintes tarefas em seu nome:

  • Cria e associa automaticamente uma elastic network interface (ENI) a cada um dos seus controladores de domínio. Cada um deles ENIs é essencial para a conectividade entre seu VPC e AWS Directory Service controladores de domínio e nunca devem ser excluídos. Você pode identificar todas as interfaces de rede reservadas para uso com AWS Directory Service pela descrição:”AWS interface de rede criada para “id de diretório”. Para obter mais informações, consulte Elastic Network Interfaces no Amazon EC2 User Guide. O DNS servidor padrão do AWS Microsoft AD gerenciado Active Directory é o VPC DNS servidor em Classless Inter-Domain Routing () CIDR +2. Para obter mais informações, consulte o DNSservidor Amazon no Guia VPC do usuário da Amazon.

    nota

    Por padrão, os controladores de domínio são implantados em duas zonas de disponibilidade em uma região e conectados à sua Amazon VPC ()VPC. Os backups são feitos automaticamente uma vez por dia, e os volumes da Amazon EBS (EBS) são criptografados para garantir que os dados estejam protegidos em repouso. Os controladores de domínio que falham são substituídos automaticamente na mesma zona de disponibilidade usando o mesmo endereço IP, e uma recuperação completa de desastres pode ser realizada usando-se o backup mais recente.

  • Provisões Active Directory dentro de você VPC usando dois controladores de domínio para tolerância a falhas e alta disponibilidade. Mais controladores de domínio podem ser provisionados para maior resiliência e desempenho depois que o diretório foi criado com êxito e está Ativo. Para obter mais informações, consulte Implantar controladores de domínio adicionais.

    nota

    AWS não permite a instalação de agentes de monitoramento em AWS Controladores de domínio gerenciados do Microsoft AD.

  • Cria um AWS grupo de segurança que estabelece regras de rede para tráfego de entrada e saída de seus controladores de domínio. A regra de saída padrão permite todo o tráfego ENIs ou instâncias anexadas ao criado AWS Grupo de segurança. As regras de entrada padrão permitem somente o tráfego através de portas que são exigidas pelo Active Directory de qualquer fonte (0.0.0.0/0). As regras 0.0.0.0/0 não introduzem vulnerabilidades de segurança, pois o tráfego para os controladores de domínio é limitado ao tráfego da sua AmazonVPC, de outros sistemas emparelhados ou de redes que você VPCs conectou usando AWS Direct Connect, AWS Transit Gateway ou Rede Privada Virtual. Para segurança adicional, os ENIs que são criados não têm Elastic IPs anexado a eles e você não tem permissão para anexar um IP elástico a elesENIs. Portanto, o único tráfego de entrada que pode se comunicar com seu AWS O Microsoft AD gerenciado é um tráfego local VPC e VPC roteado. Tenha muito cuidado se tentar alterar essas regras, pois você pode prejudicar sua capacidade de se comunicar com os controladores de domínio. Para obter mais informações, consulte Práticas recomendadas para o Microsoft AD AWS gerenciado. Os seguintes exemplos de AWS As regras do Grupo de Segurança são criadas por padrão:

    Regras de entrada

    Protocolo Intervalo de portas Origem Tipo de tráfego Uso do Active Directory
    ICMP N/D 0.0.0.0/0 Ping LDAPMantenha-se vivo, DFS
    TCP & UDP 53 0.0.0.0/0 DNS Autenticação de usuário e computador, resolução de nome, confianças
    TCP & UDP 88 0.0.0.0/0 Kerberos Autenticação de usuário e computador, confianças do nível floresta
    TCP & UDP 389 0.0.0.0/0 LDAP Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
    TCP & UDP 445 0.0.0.0/0 SMB / CIFS Replicação, autenticação de usuário e computador, política de grupo, confianças
    TCP & UDP 464 0.0.0.0/0 Alterar/definir senha do Kerberos Replicação, autenticação de usuário e computador, confianças
    TCP 135 0.0.0.0/0 Replicação RPC, EPM
    TCP 636 0.0.0.0/0 LDAP SSL Diretório, replicação, autenticação de usuário e computador, política de grupo, confianças
    TCP 1024-65535 0.0.0.0/0 RPC Replicação, autenticação de usuário e computador, política de grupo, confianças
    TCP 3268 - 3269 0.0.0.0/0 LDAPGC e LDAP GC SSL Diretório, replicação, autenticação de usuário e computador, política de grupo, confianças
    UDP 123 0.0.0.0/0 Horário do Windows Horário do Windows, confianças
    UDP 138 0.0.0.0/0 DFSN & NetLogon DFS, política de grupo
    Todos Todos sg-################## Todo o tráfego

    Regras de saída

    Protocolo Intervalo de portas Destination (Destino) Tipo de tráfego Uso do Active Directory
    Todos Todos sg-################## Todo o tráfego

  • Cria as três unidades organizacionais a seguir (OUs) sob a raiz do domínio:

    Nome da UO Descrição

    AWS Grupos delegados

    		Armazena todos os grupos que você pode usar para delegar AWS permissões específicas para seus usuários.
    AWS Reservado Armazena tudo AWS contas específicas de gerenciamento.
    <yourdomainname> O nome dessa OU é baseado no BIOS nome da rede que você digitou ao criar seu diretório. Se você não especificou um BIOS nome de rede, o padrão será a primeira parte do DNS nome do diretório (por exemplo, no caso de corp.example.com, o BIOS nome da rede seria corp). Esta OU é de propriedade de AWS e contém todos os seus AWS objetos de diretório relacionados, sobre os quais você tem controle total. Por padrão, OUs existem dois filhos nesta OU: Computadores e Usuários. Por exemplo:

    • Corp

      • Computadores

      • Usuários

  • Cria os seguintes grupos no AWS Grupos delegados OU:

    Group name Descrição
    AWS Operadores de contas delegadas Os membros desse grupo de segurança possuem capacidade limitada para gerenciamento de contas, como redefinições de senha

    AWS Administradores delegados de ativação baseados no Active Directory

    Os membros desse grupo de segurança podem criar Active Directory objetos de ativação de licenciamento por volume, que permitem que as empresas ativem computadores por meio de uma conexão com seu domínio.
    AWS Adicionar estações de trabalho delegadas aos usuários do domínio Os membros desse grupo de segurança podem adicionar 10 computadores a um domínio
    AWS Administradores delegados Os membros desse grupo de segurança podem gerenciar AWS Gerencie o Microsoft AD, tenha controle total de todos os objetos em sua OU e possa gerenciar grupos contidos no AWS Grupos delegados OU.
    AWS Delegado com permissão para autenticar objetos Os membros desse grupo de segurança têm a capacidade de se autenticar nos recursos do computador no AWS OU reservada (necessária somente para objetos locais com Trusts habilitados para Autenticação Seletiva).
    AWS Delegado com permissão para autenticação em controladores de domínio Os membros desse grupo de segurança recebem a capacidade de autenticar recursos do computador na UO de controladores de domínio (necessária apenas para objetos on-premises com confianças habilitadas para autenticação seletiva).

    AWS Administradores delegados de vida útil de objetos excluídos

    Os membros desse grupo de segurança podem modificar o DeletedObjectLifetime objeto MSDs-, que define por quanto tempo um objeto excluído estará disponível para ser recuperado da Lixeira do AD.
    AWS Administradores delegados de sistemas de arquivos distribuídos Os membros desse grupo de segurança podem adicionar e removerFRS, DFS -R e DFS namespaces.
    AWS Administradores de sistemas de nomes de domínio delegados Os membros desse grupo de segurança podem gerenciar o Active Directory integradoDNS.
    AWS Administradores delegados do Dynamic Host Configuration Protocol Os membros desse grupo de segurança podem autorizar Windows DHCPservidores na empresa.
    AWS Administradores delegados da Autoridade de Certificação Empresarial Os membros desse grupo de segurança podem implantar e gerenciar Microsoft Infraestrutura da Autoridade Certificadora Corporativa
    AWS Administradores delegados de políticas de senhas refinadas Os membros desse grupo de segurança podem modificar políticas de senhas minuciosas pré-criadas.
    AWS Administradores delegados FSx Os membros desse grupo de segurança têm a capacidade de gerenciar os FSx recursos da Amazon.
    AWS Administradores delegados de políticas de grupo Os membros desse grupo de segurança podem realizar tarefas de gerenciamento de políticas de grupo (criar, editar, excluir, vincular).
    AWS Administradores de delegação delegados do Kerberos Os membros desse grupo de segurança podem permitir a delegação nos objetos de conta de usuário e computador.
    AWS Administradores delegados de contas de serviços gerenciados Os membros desse grupo de segurança podem criar e excluir contas de serviço gerenciado.
    AWS Dispositivos delegados NPRC não compatíveis com MS Os membros desse grupo de segurança serão excluídos da exigência de comunicação por canais seguros com controladores de domínio. Esse grupo destina-se a contas de computador.
    AWS Administradores do serviço de acesso remoto delegado Os membros desse grupo de segurança podem adicionar e remover RAS servidores do grupo RAS e IAS Servidores.
    AWS Administradores de alterações do diretório de replicação delegado Os membros desse grupo de segurança podem sincronizar as informações do perfil no Active Directory com o SharePoint Server.
    AWS Administradores de servidor delegados Os membros desse grupo de segurança estão inclusos no grupo de administradores local em todos os computadores associados ao domínio.
    AWS Administradores de sites e serviços delegados Os membros desse grupo de segurança podem renomear o objeto Default-First-Site-Name em sites e serviços do Active Directory.
    AWS Administradores delegados de gerenciamento de sistemas Os membros desse grupo de segurança podem criar e gerenciar objetos no contêiner do System Management.
    AWS Administradores delegados de licenciamento do Terminal Server Os membros desse grupo de segurança podem adicionar e remover servidores de licença do servidor terminal do grupo de servidores de licença do servidor terminal.
    AWS Administradores de sufixo de nome principal de usuário delegado Os membros desse grupo de segurança podem adicionar e remover sufixos do nome da entidade principal do usuário.

  • Cria e aplica os seguintes Objetos de Política de Grupo (GPOs):

    nota

    Você não tem permissões para excluí-los, modificá-los ou desvinculá-losGPOs. Isso ocorre intencionalmente, pois eles são reservados para AWS uso. Você pode vinculá-los aos OUs que você controla, se necessário.

    Nome da política de grupo Aplica-se a Descrição
    Política de domínio padrão Domínio Inclui senha de domínio e políticas do Kerberos.
    ServerAdmins Todas as contas de computador que não são de controlador de domínio Adiciona o 'AWS Administradores de servidor delegados como membros do GrupoBUILTIN\ Administrators.
    AWS Política reservada: Usuário AWS Contas de usuário reservadas Define as configurações de segurança recomendadas em todas as contas de usuário no AWS OU reservada.
    AWS Política gerenciada do Active Directory Todos os controladores de domínio Define as configurações de segurança recomendadas em todos os controladores de domínio.
    TimePolicyNT5DS Todos os controladores que não são de PDCe domínio Define a política de horário de todos os controladores que não são controladores de PDCe domínio para usar o Windows Time (NT5DS).
    TimePolicyPDC O controlador PDCe de domínio Define a política de horário do controlador de PDCe domínio para usar o Network Time Protocol (NTP).
    Política de controladores de domínio padrão Não usado Provisionado durante a criação do domínio, AWS A Política Gerenciada do Active Directory é usada em seu lugar.

    Se quiser ver as configurações de cada umaGPO, você pode visualizá-las em uma instância do Windows associada ao domínio com o console de gerenciamento de política de grupo (GPMC) ativado.

  • Cria as seguintes contas locais padrão para AWS Gerenciamento gerenciado do Microsoft AD:

    Importante

    Certifique-se de salvar a senha do administrador. AWS Directory Service não armazena essa senha e ela não pode ser recuperada. No entanto, você pode redefinir uma senha a partir do AWS Directory Service console ou usando ResetUserPasswordAPIo.

    Administrador

    O administrador é a conta do administrador do diretório criada quando o AWS O Microsoft AD gerenciado é criado pela primeira vez. Você fornece uma senha para essa conta ao criar uma AWS Microsoft AD gerenciado. Essa conta está localizada sob a UO Users (por exemplo, Corp > Users). Você usa essa conta para gerenciar seu Active Directory no AWS. Para obter mais informações, consultePermissões para a conta de administrador.

    AWS_11111111111

    Qualquer nome de conta que comece com AWS seguido por um sublinhado e localizado em AWS A OU reservada é uma conta gerenciada por serviços. Essa conta gerenciada por serviços é usada por AWS para interagir com o Active Directory. Essas contas são criadas quando AWS Os dados do Directory Service estão habilitados e com cada novo AWS o aplicativo está autorizado em Active Directory. Essas contas só podem ser acessadas por AWS serviços.

Para obter mais informações sobre a conta de administrador e outras contas criadas pelo Active Directory, veja Microsoft documentação.

Mostrar maisMostrar menos

Permissões para a conta de administrador

Quando você cria um AWS Directory Service para o diretório Microsoft Active Directory, AWS cria uma unidade organizacional (OU) para armazenar tudo AWS grupos e contas relacionados. Para obter mais informações sobre essa UO, consulte O que é criado com o seu AWS Microsoft AD gerenciado. Isso inclui a conta de administrador. A conta de administrador tem permissões para executar as seguintes atividades administrativas comuns para sua UO:

A conta admin também tem direitos para executar as seguintes atividades em todo o domínio:

  • Gerenciar DNS configurações (adicionar, remover ou atualizar registros, zonas e encaminhadores)

  • Exibir registros de DNS eventos

  • Visualizar logs de eventos de segurança

Somente as ações listadas aqui são permitidas na conta de administrador. A conta de administrador também não tem permissões para quaisquer ações relacionadas a diretórios fora da sua UO específica, como a UO pai.

Importante

AWS Os administradores de domínio têm acesso administrativo total a todos os domínios hospedados no AWS. Veja seu contrato com AWS e o AWS proteção de dados FAQ para obter mais informações sobre como AWS manipula o conteúdo, incluindo informações do diretório, que você armazena em AWS sistemas.

nota

Recomendamos que você não exclua nem renomeie essa conta. Se não desejar mais usar a conta, recomendamos definir uma senha longa (no máximo 64 caracteres aleatórios) e desabilitá-la.

Contas privilegiadas de administrador de empresa e de administrador de domínio

AWS alterna automaticamente a senha de administrador incorporada para uma senha aleatória a cada 90 dias. Sempre que a senha incorporada do administrador for solicitada para uso humano, um AWS o ticket é criado e registrado com o AWS Directory Service equipe. As credenciais da conta são criptografadas e gerenciadas por canais seguros. Além disso, as credenciais da conta de administrador só podem ser solicitadas pelo AWS Directory Service equipe de gestão.

Para realizar o gerenciamento operacional do seu diretório, AWS tem controle exclusivo de contas com privilégios de administrador corporativo e administrador de domínio. Isso inclui controle exclusivo da conta de administrador do Active Directory. AWS protege essa conta automatizando o gerenciamento de senhas por meio do uso de um cofre de senhas. Durante a rotação automática da senha do administrador, AWS cria uma conta de usuário temporária e concede a ela privilégios de administrador de domínio. Esta conta temporária é usado como um backup em caso de falha na rotação de senhas na conta do administrador. Depois AWS gira com sucesso a senha do administrador, AWS exclui a conta temporária do administrador.

Normalmente AWS opera o diretório inteiramente por meio da automação. Caso um processo de automação não consiga resolver um problema operacional, AWS talvez seja necessário que um engenheiro de suporte faça login no seu controlador de domínio (DC) para realizar o diagnóstico. Nesses casos raros, AWS implementa um sistema de solicitação/notificação para conceder acesso. Nesse processo, AWS A automação cria uma conta de usuário por tempo limitado em seu diretório que tem permissões de administrador de domínio. AWS associa a conta do usuário ao engenheiro designado para trabalhar em seu diretório. AWS registra essa associação em nosso sistema de log e fornece ao engenheiro as credenciais a serem usadas. Todas as ações executadas pelo engenheiro serão registradas nos logs de eventos do Windows. Quando o tempo de alocado expirar, a automação excluirá a conta de usuário.

Você pode monitorar as ações de contas administrativas usando o recurso de encaminhamento de log do seu diretório. Esse recurso permite que você encaminhe os eventos de segurança do AD para o seu CloudWatch sistema, onde você pode implementar soluções de monitoramento. Para obter mais informações, consulte Ative o encaminhamento CloudWatch de registros do Amazon Logs para o Microsoft AWS AD gerenciado.

Os eventos de segurança IDs 4624, 4672 e 4648 são todos registrados quando alguém se conecta interativamente a um DC. Você pode visualizar o log de eventos do Windows Security de cada DC usando o Visualizador de Eventos Microsoft Management Console (MMC) de um computador Windows associado ao domínio. Você também pode Ative o encaminhamento CloudWatch de registros do Amazon Logs para o Microsoft AWS AD gerenciado enviar todos os registros de eventos de segurança para o CloudWatch Logs da sua conta.

Ocasionalmente, você pode ver usuários criados e excluídos no AWS OU reservada. AWS é responsável pelo gerenciamento e pela segurança de todos os objetos nesta OU e em qualquer outra OU ou contêiner em que não tenhamos delegado permissões para você acessar e gerenciar. É possível ver criações e exclusões nessa UO. Isso ocorre porque AWS Directory Service usa automação para alternar a senha do administrador do domínio regularmente. Quando a senha é alternada, um backup é criado para o caso da operação falhar. Quando a alternância for bem-sucedida, a conta de backup será excluída automaticamente. Além disso, no caso raro de ser necessário acesso interativo no DCs para fins de solução de problemas, uma conta de usuário temporária é criada para um AWS Directory Service engenheiro para usar. Após o engenheiro concluir seu trabalho, a conta de usuário temporária será excluída. Observe que toda vez que as credenciais interativas são solicitadas para um diretório, o AWS Directory Service a equipe de gerenciamento é notificada.