As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # O que é criado com seu Microsoft AD AWS gerenciado Quando você cria um Active Directory com o Microsoft AD AWS gerenciado, Directory Service executa as seguintes tarefas em seu nome: + Cria e associa automaticamente uma interface de rede elástica (ENI) a cada um dos controladores de domínio. Cada um deles ENIs é essencial para a conectividade entre sua VPC e os controladores de Directory Service domínio e nunca deve ser excluído. Você pode identificar todas as interfaces de rede reservadas para uso com Directory Service a descrição: "interface de rede AWS criada para *id de diretório*”. Para obter mais informações, consulte [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) no *Guia do usuário do Amazon EC2*. O servidor DNS padrão do Microsoft AD Active Directory AWS gerenciado é o servidor VPC DNS em Classless Inter-Domain Routing (CIDR) \$12. Para obter mais informações, consulte [Amazon DNS server](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS) no *Guia do usuário da Amazon VPC*. **nota** Por padrão, os controladores de domínio são implantados em duas zonas de disponibilidade em uma região e conectados à Amazon VPC (VPC). Os backups são realizados automaticamente uma vez por dia, e os volumes do Amazon EBS (EBS) são criptografados para garantir que os dados estejam seguros em repouso. Os controladores de domínio que falham são substituídos automaticamente na mesma zona de disponibilidade usando o mesmo endereço IP, e uma recuperação completa de desastres pode ser realizada usando-se o backup mais recente. + Provisiona o Active Directory na VPC usando dois controladores de domínio para tolerância a falhas e alta disponibilidade. Mais controladores de domínio podem ser provisionados para maior resiliência e desempenho depois que o diretório foi criado com êxito e está [Ativo](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html). Para obter mais informações, consulte [Implantando controladores de domínio adicionais para seu AWS Microsoft AD gerenciado](ms_ad_deploy_additional_dcs.md). **nota** AWS não permite a instalação de agentes de monitoramento em controladores de domínio AWS gerenciados do Microsoft AD. + Cria um [grupo AWS de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) *sg-1234567890abcdef0* que estabelece regras de rede para o tráfego de entrada e saída de seus controladores de domínio. A regra de saída padrão permite todo o tráfego para todos IPv4 os endereços. As regras de entrada padrão permitem somente o tráfego pelas portas exigidas pelo Active Directory a partir do bloco IPv4 CIDR primário associado à hospedagem VPC do seu Microsoft AD gerenciado AWS . Para segurança adicional, os ENIs que são criados não têm Elastic IPs anexado a eles e você não tem permissão para anexar um IP elástico a eles ENIs. Portanto, por padrão, o único tráfego de entrada que pode se comunicar com seu Microsoft AD AWS gerenciado é a VPC local. Você pode alterar as regras do grupo de segurança para permitir fontes de tráfego adicionais, por exemplo, de outras fontes de tráfego CIDRs emparelhadas VPCs ou acessíveis via VPN. Tenha muito cuidado se tentar alterar essas regras, pois você pode prejudicar sua capacidade de se comunicar com os controladores de domínio. Para obter mais informações, consulte [AWS Práticas recomendadas gerenciadas do Microsoft AD](ms_ad_best_practices.md) e [Aprimorando sua configuração de segurança de rede AWS gerenciada do Microsoft AD](ms_ad_network_security.md). Você pode usar [listas de prefixos]() para gerenciar os blocos CIDR dentro das regras do grupo de segurança. As listas de prefixos facilitam o gerenciamento e a configuração de grupos de segurança e tabelas de rotas. Você pode consolidar vários blocos CIDR com a mesma porta e protocolos para escalar o tráfego de rede. + Em um ambiente Windows, os clientes geralmente se comunicam via [Server Message Block (SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) ou pela porta 445. Esse protocolo facilita várias ações, como compartilhamento de arquivos e impressoras e comunicação geral de rede. Você verá o tráfego de clientes na porta 445 para as interfaces de gerenciamento de seus controladores de domínio AWS gerenciados do Microsoft AD. Esse tráfego ocorre quando os clientes SMB dependem da resolução de nomes DNS (porta 53) e NetBIOS (porta 138) para localizar seus recursos de domínio gerenciado do AWS Microsoft AD. Esses clientes são direcionados para qualquer interface disponível nos controladores de domínio ao localizar recursos de domínio. Esse comportamento é esperado e costuma ocorrer em ambientes com vários adaptadores de rede, onde o [SMB Multichannel](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11)) permite que clientes estabeleçam conexões por diferentes interfaces para melhorar o desempenho e a redundância. As seguintes regras do grupo de AWS segurança são criadas por padrão: **Regras de entrada** **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **Regras de saída** **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Para obter mais informações sobre as portas e os protocolos usados pelo Active Directory, consulte [Visão geral do serviço e requisitos de porta de rede para o Windows](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports) na documentação da Microsoft. + Cria uma conta de administrador do diretório com o nome de usuário Admin e a senha especificada. Essa conta está localizada sob a Users OU (por exemplo, Corp > Usuários). Use essa conta para gerenciar o diretório na Nuvem AWS. Para obter mais informações, consulte [AWS Conta gerenciada de administrador do Microsoft AD e permissões de grupo](ms_ad_getting_started_admin_account.md). **Importante** Não se esqueça de salvar essa senha. Directory Service não armazena essa senha e ela não pode ser recuperada. No entanto, você pode redefinir uma senha no Directory Service console ou usando a [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API. + Cria as três unidades organizacionais a seguir (OUs) sob a raiz do domínio: **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Cria os seguintes grupos no AWS Delegated Groups OU: **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **nota** Também é possível adicionar esses AWS Delegated Groups. + Cria e aplica os seguintes Objetos de Política de Grupo (GPOs): **nota** Você não tem permissões para excluí-los, modificá-los ou desvinculá-los GPOs. Isso ocorre intencionalmente, pois eles são reservados para AWS uso. Você pode vinculá-los aos OUs que você controla, se necessário. **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) Se quiser ver as configurações de cada GPO, você poderá visualizá-las em uma instância do Windows associada ao domínio com o [Console de gerenciamento de política de grupo (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)) habilitado. + Cria o seguinte default local accounts para o gerenciamento AWS gerenciado do Microsoft AD: **Importante** Certifique-se de salvar a senha do administrador. Directory Service não armazena essa senha e ela não pode ser recuperada. No entanto, você [pode redefinir uma senha no Directory Service console](ms_ad_manage_users_groups_reset_password.md) ou usando a [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API. **Admin** O Admin é o directory administrator account criado quando o Microsoft AD AWS gerenciado é criado pela primeira vez. Você fornece uma senha para essa conta ao criar um Microsoft AD AWS gerenciado. Essa conta está localizada sob a Users OU (por exemplo, Corp > Usuários). Use essa conta para gerenciar o Active Directory na AWS. Para obter mais informações, consulte [AWS Conta gerenciada de administrador do Microsoft AD e permissões de grupo](ms_ad_getting_started_admin_account.md). **AWS*\$1*11111111111**** Qualquer nome de conta que comece com AWS seguido por um sublinhado e localizado em AWS Reserved OU é uma conta gerenciada pelo serviço. Essa conta gerenciada por serviços é usada por AWS para interagir com o Active Directory. Essas contas são criadas quando o AWS Directory Service Data está habilitado e com cada novo AWS aplicativo autorizado no Active Directory. Essas contas só podem ser acessadas por AWS serviços. **krbtgt account** Ela krbtgt account desempenha um papel importante nas trocas de tíquetes Kerberos usadas pelo seu AWS Microsoft AD gerenciado. A krbtgt account é uma conta especial usada para criptografia de tíquetes de concessão de tíquetes (TGT) do Kerberos e desempenha um papel crucial na segurança do protocolo de autenticação Kerberos. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account). AWS gira automaticamente a krbtgt account senha do seu Microsoft AD AWS gerenciado duas vezes a cada 90 dias. Há um período de espera de 24 horas entre as duas alternâncias consecutivas a cada 90 dias. Para obter mais informações sobre a conta de administrador e outras contas criadas pelo Active Directory, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts).