AWS Managed Microsoft AD Administrator 帳戶許可

當您建立 AWS Directory Service for Microsoft Active Directory 目錄時， 會 AWS 建立組織單位 （OU） 以存放 AWS 所有相關群組和帳戶。如需此 OU 的詳細資訊，請參閱「使用 AWS Managed Microsoft AD 建立的內容」。這包括管理帳戶。管理帳戶具有許可，能夠執行以下對您的 OU 而言常見的管理活動：

管理帳戶也有權執行下列全網域活動：

管理帳戶僅允許此處所列的動作。管理帳戶也缺少您特定 OU (例如父 OU) 外部任何目錄相關動作的許可。

企業和域管理員特殊權限帳戶

AWS 每 90 天會自動將內建管理員密碼輪換為隨機密碼。每當請求內建管理員密碼供人工使用時， AWS 就會建立票證，並與 AWS Directory Service 團隊一起記錄。帳戶憑證經過加密並透過安全通道處理。此外，管理員帳戶憑證只能由 AWS Directory Service 管理團隊請求。

若要執行目錄的操作管理， AWS 具有具有企業管理員和網域管理員權限的帳戶的專屬控制權。這包括對 Active Directory 管理員帳戶的獨家控制。透過使用密碼保存庫自動管理密碼來保護 AWS 此帳戶。在管理員密碼的自動輪換期間， 會 AWS 建立臨時使用者帳戶，並授予網域管理員權限。此臨時帳戶是管理員帳戶密碼輪換失效時的備用方案。 AWS 成功輪換管理員密碼後， 會 AWS 刪除臨時管理員帳戶。

通常完全透過自動化 AWS 操作目錄。如果自動化程序無法解決操作問題， AWS 可能需要支援工程師登入您的網域控制器 （DC） 才能執行診斷。在這些極少數情況下， 會 AWS 實作請求/通知系統來授予存取權。在此程序中， AWS 自動化會在您的目錄中建立具有網域管理員許可的限時使用者帳戶。 會將使用者帳戶與指派在目錄中工作的工程師建立 AWS 關聯。 會在我們的日誌系統中 AWS 記錄此關聯，並為工程師提供要使用的憑證。工程師採取的所有動作，都會記錄在 Windows 事件日誌。分配之時間結束時，會自動刪除使用者帳戶。

您可以使用目錄的日誌轉寄功能，監督管理帳戶的行動。此功能可讓您將 AD Security 事件轉送至 CloudWatch您的系統，您可以在其中實作監控解決方案。如需詳細資訊，請參閱啟用 AWS Managed Microsoft AD 的 Amazon CloudWatch Logs 日誌轉送。

安全事件 IDs 4624、4672 和 4648 都會在有人以互動方式登入 DC 時記錄。您可以使用 Event Viewer Microsoft 管理主控台 （MMC），從加入 Windows 電腦的網域檢視每個 DC 的 Windows 安全事件日誌。您也可以將所有安全事件日誌啟用 AWS Managed Microsoft AD 的 Amazon CloudWatch Logs 日誌轉送傳送至帳戶中的 CloudWatch 日誌。

您偶爾可能會看到在 AWS 預留 OU 中建立和刪除的使用者。 AWS 負責此 OU 和任何其他 OU 或容器中所有物件的管理和安全，而我們尚未委派您存取和管理許可。您可能會看到該 OU 中的建立和刪除操作。這是因為 AWS Directory Service 使用自動化來定期輪換網域管理員密碼。密碼輪換時會建立備份，以防輪換失敗。輪換成功後，備份帳戶將自動刪除。在極少數情況下，為了進行故障診斷DCs而需要在 上進行互動式存取，會建立臨時使用者帳戶供 AWS Directory Service 工程師使用。一旦相關工程師完成工作，該臨時使用者帳戶將被刪除。請注意，每次為目錄請求互動式憑證時，都會通知 AWS Directory Service 管理團隊。