用你的 AWS 托管 Microsoft AD 创建了什么 - AWS Directory Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用你的 AWS 托管 Microsoft AD 创建了什么

当你创建 Active Directory 使用 AWS 托管 Microsoft AD,代表你 AWS Directory Service 执行以下任务:

  • 自动创建弹性网络接口 (ENI) 并将其与每个域控制器关联。ENIs它们中的每一个对于您的控制VPC器和 AWS Directory Service 域控制器之间的连接都至关重要,因此切勿将其删除。您可以 AWS Directory Service 通过描述来标识所有保留供使用的网络接口:“为目录目录 ID AWS 创建的网络接口”。有关更多信息,请参阅 Amazon EC2 用户指南中的弹性网络接口。 AWS 托管微软 AD 的默认DNS服务器 Active Directory 是处于无类域间路由 (CIDR) +2 的VPCDNS服务器。有关更多信息,请参阅《亚马逊VPC用户指南》中的亚马逊DNS服务器

    注意

    默认情况下,域控制器部署在一个地区的两个可用区中,并连接到您的 Amazon VPC (VPC)。每天自动备份一次,并对 Amazon EBS (EBS) 卷进行加密,以确保静态数据的安全。出现故障的域控制器会在同一可用区中使用相同的 IP 地址自动替换,并且可以使用最新的备份执行完全灾难恢复。

  • 条款 Active Directory 在你VPC使用两个域控制器来实现容错和高可用性。在成功创建目录且目录处于活动状态后,可以预置更多域控制器以获得更高的恢复能力和性能。有关更多信息,请参阅 为你的 AWS 托管 Microsoft AD 部署额外的域控制器

    注意

    AWS 不允许在 AWS 托管的 Microsoft AD 域控制器上安装监控代理。

  • 创建AWS 安全组,为进出域控制器的流量制定网络规则。默认出站规则允许所有流量ENIs或实例连接到已创建 AWS 的安全组。默认的入站规则仅允许流量通过所需的端口 Active Directory 来自你VPCCIDR的 Microsoft AWS 托管 AD。这些规则不会引入安全漏洞,因为域控制器的流量仅限于来自您VPC、来自其他对等设备或您使用 AWS Direct Connect Tr AWS ansit Gate VPCs way 或虚拟专用网络连接的网络的流量。为了提高安全性ENIs,创建的没有IPs附加弹性,您也无权将弹性 IP 附加到这些服务器ENIs。因此,唯一可以与您的 AWS 托管 Microsoft AD 通信的入站流量是本地流量VPC和VPC路由流量。您可以更改 AWS 安全组规则。如果您尝试更改这些规则,请特别小心,因为您可能会破坏与域控制器通信的能力。有关更多信息,请参阅 AWS 微软 AD 托管最佳实践。默认情况下会创建以下 AWS 安全组规则:

    入站规则

    协议 端口范围 来源 流量的类型 Active Directory 使用情况
    ICMP 不适用 AWS 微软 AD 托管 VPC IPv4 CIDR Ping LDAP活下去,DFS
    TCP & UDP 53 AWS 微软 AD 托管 VPC IPv4 CIDR DNS 用户和计算机身份验证、名称解析、信任
    TCP & UDP 88 AWS 微软 AD 托管 VPC IPv4 CIDR Kerberos 用户和计算机身份验证、林级信任
    TCP & UDP 389 AWS 微软 AD 托管 VPC IPv4 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
    TCP & UDP 445 AWS 微软 AD 托管 VPC IPv4 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略、信任
    TCP & UDP 464 AWS 微软 AD 托管 VPC IPv4 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
    TCP 135 AWS 微软 AD 托管 VPC IPv4 CIDR 复制 RPC, EPM
    TCP 636 AWS 微软 AD 托管 VPC IPv4 CIDR LDAP SSL 目录、复制、用户和计算机身份验证、组策略、信任
    TCP 1024-65535 AWS 微软 AD 托管 VPC IPv4 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
    TCP 3268 - 3269 AWS 微软 AD 托管 VPC IPv4 CIDR LDAPGC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证、组策略、信任
    UDP 123 AWS 微软 AD 托管 VPC IPv4 CIDR Windows 时间 Windows 时间、信任
    UDP 138 AWS 微软 AD 托管 VPC IPv4 CIDR DFSN & NetLogon DFS,组策略
    全部 全部 AWS 微软 AD 托管 VPC IPv4 CIDR 所有流量

    出站规则

    协议 端口范围 目标位置 流量的类型 Active Directory 使用情况
    全部 全部 0.0.0.0/0 所有流量

  • 有关使用的端口和协议的更多信息 Active Directory,请参阅中的 Windows 服务概述和网络端口要求 Microsoft 文档中)。

  • 使用用户名 Admin 和指定密码创建目录管理员账户。此账户位于 Users OU 下 (例如,Corp > Users)。您可以使用此帐户管理您在 AWS 云端的目录。有关更多信息,请参阅 AWS 托管微软 AD 管理员账户权限

    重要

    请务必保存此密码。 AWS Directory Service 不存储此密码,也无法找回。但是,您可以从 AWS Directory Service 控制台重置密码,也可以使用重置密码ResetUserPasswordAPI。

  • 在域根目录下创建以下三个组织单位 (OUs):

    OU 名称 描述

    AWS 委托组

    		存储所有可用于向用户委派 AWS 特定权限的群组。
    AWS 已保留 存储所有特定于 AWS 管理的账户。
    <您的域名> 此 OU 的名称基于您在创建目录时键入的网络BIOS名称。如果您未指定网络BIOS名称,则它将默认为目录DNS名称的第一部分(例如,对于 corp.example.com,网络BIOS名称将为 corp)。此 OU 归所有 AWS 并包含您所有 AWS相关的目录对象,您被授予对这些对象的完全控制权。默认情况下,此 OU 下OUs有两个子项:“计算机” 和 “用户”。例如:

    • Corp

      • Computers

      • 用户

  • 在 AWS 授权群组 OU 中创建以下群组:

    组名 描述
    AWS 委托账户操作员 此安全组的成员拥有有限的账户管理能力,如密码重置

    AWS 基于活动目录的授权激活管理员

    此安全组的成员可以创建 Active Directory 批量许可激活对象,这使企业能够通过与其域的连接激活计算机。
    AWS 委派向域用户添加工作站 此安全组的成员可将 10 台计算机加入域中。
    AWS 授权管理员 该安全组的成员可以管理 AWS 托管的 Microsoft AD,完全控制组织单位中的所有对象,并可以管理 AWS 委派组 OU 中包含的群组。
    AWS 已授权允许对对象进行身份验证 该安全组的成员能够对 AWS 预留 OU 中的计算机资源进行身份验证(仅启用了选择性身份验证的本地对象信任才需要)。
    AWS 已授权允许向域控制器进行身份验证 此安全组的成员可以对域控制器 OU 中的计算机资源进行身份验证(仅当本地对象具有启用了选择性身份验证的信任时才需要)。

    AWS 委派的已删除对象生命周期管理员

    该安全组的成员可以修改 MSD-DeletedObjectLifetime 对象,该对象定义了已删除的对象可以从 AD 回收站中恢复多长时间。
    AWS 委派的分布式文件系统管理员 该安全组的成员可以添加和删除FRS、DFS-R 和DFS命名空间。
    AWS 委派域名系统管理员 该安全组的成员可以集成管理 Active Directory DNS。
    AWS 委派的动态主机配置协议管理员 该安全组的成员可以授权企业中的 Windows DHCP 服务器。
    AWS 委派的企业证书颁发机构管理员 此安全组的成员可以部署和管理 Microsoft 企业证书颁发机构基础设施。
    AWS 委派精细密码策略管理员 此安全组的成员可以修改预先创建的精细密码策略。
    AWS 授权FSx管理员 该安全组的成员可以管理 Amazon FSx 资源。
    AWS 委派组策略管理员 此安全组的成员可以执行组策略管理任务(创建、编辑、删除、链接)。
    AWS 委派的 Kerberos 委派管理员 此安全组的成员可以针对计算机和用户账户对象启用委托。
    AWS 委派的托管服务账户管理员 此安全组的成员可以创建和删除托管服务账户。
    AWS 委托 MS-NPRC 不兼容的设备 该安全组的成员将被排除在与域控制器进行安全通道通信的要求之外。此组适用于计算机账户。
    AWS 委派的远程访问服务管理员 该安全组的成员可以在和RAS服务器组中添加RAS和删除IAS服务器。
    AWS 委派的复制目录更改管理员 该安全组的成员可以将 Active Directory 中的配置文件信息与 SharePoint 服务器同步。
    AWS 委派服务器管理员 此安全组的成员包含在所有加入域的计算机的本地管理员组中。
    AWS 委派站点和服务管理员 该安全组的成员可以在 Active Directory 网站和服务中重命名该 Default-First-Site-Name对象。
    AWS 委派的系统管理管理员 此安全组的成员可以创建和管理系统管理容器中的对象。
    AWS 委派的终端服务器许可管理员 此安全组的成员可以在终端服务器许可服务器组中添加和删除终端服务器许可服务器。
    AWS 委派用户主体名称后缀管理员 此安全组的成员可以添加和删除用户委托人名称后缀。
    注意

    您可以添加到这些 AWS 授权组。

  • 创建并应用以下组策略对象 (GPOs):

    注意

    您无权删除、修改或取消关联这些GPOs内容。这是设计使然,因为它们是保留供 AWS 使用的。如果需要,您可以将它们链接OUs到您控制的对象。

    组策略名称 适用于 描述
    默认域策略 包括域密码和 Kerberos 策略。
    ServerAdmins 所有非域控制器计算机账户 将 “AWS 委派服务器管理员” 添加为BUILTIN\ 管理员组的成员。
    AWS 保留政策:用户 AWS 保留的用户账户 为 AWS 预留 OU 中的所有用户账户设置推荐的安全设置。
    AWS 托管活动目录政策 所有域控制器 在所有域控制器上设置建议的安全设置。
    TimePolicyNT5DS 所有非PDCe域控制器 将所有非PDCe域控制器的时间策略设置为使用 Windows 时间 (NT5DS)。
    TimePolicyPDC PDCe域控制器 将PDCe域控制器的时间策略设置为使用网络时间协议 (NTP)。
    默认域控制器策略 未使用 在创建域时进行配置,使用 AWS 托管 Active Directory 策略代替它。

    如果您想查看每个设置的设置GPO,则可以在启用组策略管理控制台 (GPMC) 的情况下从已加入域的 Windows 实例中查看这些设置。

  • 为 AWS 托管 Microsoft AD 管理创建以下默认本地帐户:

    重要

    请务必保存管理员密码。 AWS Directory Service 不存储此密码,也无法找回。但是,您可以从 AWS Directory Service 控制台重置密码,也可以使用重置密码ResetUserPasswordAPI。

    Admin

    管理员是首次创建 AWS 托管 Microsoft AD 时创建的目录管理员帐户。在创建 AWS 托管 Microsoft AD 时,您需要为此帐户提供密码。此账户位于 Users OU 下 (例如,Corp > Users)。你使用这个账户来管理你的 Active Directory 在 AWS。有关更多信息,请参阅 AWS 托管微软 AD 管理员账户权限

    AWS_11111111111

    任何以 AWS 后跟下划线开头且位于 AWS 预留 OU 中的账户名称均为服务管理账户。此服务管理账户用于与之 AWS 交互 Active Directory。 这些帐户是在启用 AWS Directory Service Data 且每个新 AWS 应用程序都已启用时创建的 Active Directory。 这些账户只能通过 AWS 服务访问。

    krbtgt 账号密码

    krbtgt 账户在你的托管 AWS Microsoft AD 使用的 Kerberos 票据交换中起着重要作用。krbtgt 账户是用于 Kerberos 票证授予票证 (TGT) 加密的特殊帐户,它在 Kerberos 身份验证协议的安全性中起着至关重要的作用。有关更多信息,请参阅微软文档

    AWS 每 90 天自动轮换托管 AWS Microsoft AD 的 krbtgt 账户密码两次。每 90 天连续两次轮换之间有 24 小时的等待期。

有关管理员账户和由创建的其他账户的更多信息 Active Directory,请参阅 Microsoft 文档