AWS Managed Microsoft AD 管理员账户权限 - AWS Directory Service
企业和域管理员特权账户

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Managed Microsoft AD 管理员账户权限

如果您创建 AWS Directory Service for Microsoft Active Directory 目录,AWS 会创建组织部门(OU)来存储与 AWS 相关的所有组和账户。有关此 OU 的更多信息,请参阅 随 AWS Managed Microsoft AD 创建的内容。其中包括管理员账户。管理员账户有权对您的 OU 执行以下常见的管理活动:

  • 添加、更新或删除用户、组和计算机。有关更多信息,请参阅 AWS 托管 Microsoft AD 中的用户和群组管理

  • 将资源添加到域 (如文件或打印服务器),然后为 OU 中的用户和组分配这些资源的权限。

  • 创建额外的 OU 和容器。

  • 委派附加 OU 和容器的权限。有关更多信息,请参阅 为 AWS Managed Microsoft AD 委派目录加入权限

  • 创建和链接组策略。

  • 从 Active Directory 回收站还原删除的对象。

  • 在 Active Directory Web 服务上运行 Active Directory 和 DNS Windows PowerShell 模块。

  • 创建和配置组托管服务账户。有关更多信息,请参阅 组托管服务账户

  • 配置 Kerberos 约束委托。有关更多信息,请参阅 Kerberos 约束委托

管理员账户还具有在域范围内进行以下活动的权限:

  • 管理 DNS 配置(添加、删除或更新记录、区域和转发器)

  • 查看 DNS 事件日志

  • 查看安全事件日志

仅允许管理员账户执行此处列出的操作。对于特定 OU 外部 (如在父 OU 上) 的任何目录相关操作,管理员账户也没有权限。

重要

AWS 域管理员对 AWS 上托管的所有域拥有完全管理访问权限。有关 AWS 如何处理 AWS 系统上存储的内容(包括目录信息)的更多信息,请参阅与 AWS 达成的协议以及 AWS 数据保护常见问题

注意

我们建议您不要删除或重命名此账户。如果您不再想使用该账户,建议您设置一个长密码(最多 64 个随机字符),然后禁用该账户。

企业和域管理员特权账户

AWS 每 90 天自动将内置管理员密码轮换为随机密码。每当要求内置的管理员密码供人们使用时,系统都会创建一个 AWS 票证并记录在 AWS Directory Service 团队中。账户凭证通过安全通道进行经过加密和处理。此外,管理员账户凭证只能由 AWS Directory Service 管理团队申请。

要执行操作管理您的目录,AWS 已独占控制管理员和域管理员权限的账户的企业。这包括对 Active Directory 管理员账户的独占控制。AWS 通过使用密码库自动管理密码来保护此账户。在自动轮换管理员密码时,AWS 会创建一个用户账户并授予其临时域管理员权限。此临时账户已用作备份在发生密码轮换故障的管理员账户。AWS 成功轮换管理员密码后,AWS 会删除临时管理员账户。

通过 AWS 目录通常完全自动化。如果自动化流程无法解决运营问题,AWS 可能需要有一个支持工程师登录到您的域控制器(DC)执行诊断。在这些极少数情况下,AWS 实施请求/通知系统来授予访问权限。在此过程中,AWS 自动化会在您的目录中创建一个具有域管理员权限的限时用户账户。AWS 将用户账户与被指派处理此目录的工程师相关联。AWS 将该关联记录在我们的日志系统中,并为工程师提供要使用的凭证。工程师所采取的所有操作都记录在 Windows 事件日志中。当分配的时间到期后,自动化将删除用户账户。

您可以使用目录的日志转发功能监控管理账户的操作。利用此功能,您可以将 AD 安全事件转发到您的 CloudWatch 系统,您可以在其中实施监控解决方案。有关更多信息,请参阅 为 AWS Managed Microsoft AD 启用 Amazon CloudWatch Logs 日志转发

当有人以交互方式登录到 DC 时,系统会记录安全事件 ID 4624、4672 和 4648。可以在已加入域的 Windows 计算机上使用事件查看器 Microsoft 管理控制台(MMC)查看每个 DC 的 Windows 安全事件日志。也可以 为 AWS Managed Microsoft AD 启用 Amazon CloudWatch Logs 日志转发,将所有安全事件日志发送到账户中的 CloudWatch Logs。

您可能偶尔会看到在 AWS 预留 OU 中创建和删除用户。AWS 负责此 OU 以及我们未向您委托访问和管理权限的任何其他 OU 或容器中所有对象的管理和安全。您可能会看到该 OU 中创建和删除的内容。这是因为 AWS Directory Service 使用自动化来定期轮换域管理员密码。轮换密码时会创建备份,以防轮换失败。轮换成功后,备份账户会自动删除。此外,极少数情况下需要在 DC 上进行交互式访问以进行故障排除时,会创建一个临时用户账户供 AWS Directory Service 工程师使用。工程师完成工作后,临时用户账户将被删除。请注意,每次为目录请求交互式凭证时,都会通知 AWS Directory Service 管理团队。