AWS 托管微软 AD 管理员账户权限 - AWS Directory Service
企业和域管理员特权账户

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 托管微软 AD 管理员账户权限

在为 Microsoft A AWS ctive Directory 目录 AWS 创建目录服务时,会创建一个组织单位 (OU) 来存储所有 AWS 相关的群组和帐户。有关此 OU 的更多信息,请参阅 用你的 AWS 托管 Microsoft AD 创建了什么。其中包括管理员账户。管理员账户有权对您的 OU 执行以下常见的管理活动:

  • 添加、更新或删除用户、组和计算机。有关更多信息,请参阅 AWS 托管 Microsoft AD 中的用户和群组管理

  • 将资源添加到域 (如文件或打印服务器),然后为 OU 中的用户和组分配这些资源的权限。

  • 创建其他OUs和容器。

  • 委托其他容OUs器和容器的权限。有关更多信息,请参阅 为托 AWS 管 Microsoft AD 委派目录加入权限

  • 创建和链接组策略。

  • 从 Active Directory 回收站还原删除的对象。

  • 运行活动目录然后 DNS Windows PowerShell 活动目录 Web 服务上的模块。

  • 创建和配置组托管服务账户。有关更多信息,请参阅 组托管服务账户

  • 配置 Kerberos 约束委托。有关更多信息,请参阅 Kerberos 约束委托

管理员账户还具有在域范围内进行以下活动的权限:

  • 管理DNS配置(添加、删除或更新记录、区域和转发器)

  • 查看DNS事件日志

  • 查看安全事件日志

仅允许管理员账户执行此处列出的操作。对于特定 OU 外部 (如在父 OU 上) 的任何目录相关操作,管理员账户也没有权限。

重要

AWS 域管理员对托管的所有域拥有完全的管理权限 AWS。有关如何 AWS 处理存储在 AWS 系统上的内容(包括目录信息)的FAQ更多信息,请参阅您与之签订的协议 AWS 和AWS 数据保护

注意

我们建议您不要删除或重命名此账户。如果您不再想使用该账户,建议您设置一个长密码(最多 64 个随机字符),然后禁用该账户。

企业和域管理员特权账户

AWS 每 90 天自动将内置管理员密码轮换为随机密码。每当要求使用内置的管理员密码供人类使用时,系统都会创建一张 AWS 票证并记录在 AWS Directory Service 团队中。账户凭证通过安全通道进行经过加密和处理。此外,管理员账户凭证只能由 AWS Directory Service 管理团队申请。

要对您的目录进行操作管理, AWS 必须拥有对具有企业管理员和域管理员权限的帐户的独占控制权。这包括对 Active Directory 管理员帐户的独家控制权。 AWS 通过使用密码库自动管理密码,从而保护此帐户。在管理员密码的自动轮换过程中, AWS 创建一个临时用户帐户并授予其域管理员权限。此临时账户已用作备份在发生密码轮换故障的管理员账户。 AWS 成功轮换管理员密码后, AWS 删除临时管理员帐户。

通常完全通过自动化 AWS 操作目录。如果自动化过程无法解决操作问题,则 AWS 可能需要让支持工程师登录您的域控制器 (DC) 进行诊断。在这些极少数情况下,会 AWS 实施请求/通知系统来授予访问权限。在此过程中, AWS 自动化会在您的目录中创建一个具有域管理员权限的限时用户帐户。 AWS 将用户帐户与被指派处理您的目录的工程师相关联。 AWS 将这种关联记录在我们的日志系统中,并为工程师提供要使用的凭据。工程师所采取的所有操作都记录在 Windows 事件日志中。当分配的时间到期后,自动化将删除用户账户。

您可以使用目录的日志转发功能监控管理账户的操作。此功能使您能够将 AD Security 事件转发到您的 CloudWatch系统,在那里您可以实施监控解决方案。有关更多信息,请参阅 为 AWS 托管 Microsoft AD 启用亚马逊 CloudWatch 日志日志转发

当有人以交互方式登录 DC 时,都会记录安全事件 IDs 4624、4672 和 4648。你可以使用已加入域的 Windows 计算机上的事件查看器 Microsoft 管理控制台 (MMC) 查看每个 DC 的 Windows 安全事件日志。您也可以将所有安全事件日志发送为 AWS 托管 Microsoft AD 启用亚马逊 CloudWatch 日志日志转发到您账户中的 CloudWatch Logs。

您可能偶尔会看到在 AWS 预留 OU 中创建和删除了用户。 AWS 负责管理此 OU 以及我们未向您委托访问和管理权限的任何其他 OU 或容器中所有对象的管理和安全。您可能会看到该 OU 中创建和删除的内容。这是因为 AWS Directory Service 使用自动化来定期轮换域管理员密码。轮换密码时会创建备份,以防轮换失败。轮换成功后,备份账户会自动删除。此外,在极少数情况下需要交互式访问DCs以进行故障排除,则会创建一个临时用户帐户供 AWS Directory Service 工程师使用。工程师完成工作后,临时用户账户将被删除。请注意,每次为目录请求交互式凭证时,都会通知 AWS Directory Service 管理团队。