Erste Schritte mit AWS Managed Microsoft AD - AWS Directory Service
AWS Voraussetzungen für verwaltetes Microsoft ADErstellen Sie Ihr AWS verwaltetes Microsoft ADWas wird mit Ihrem AWS Managed Microsoft AD Active Directory erstelltBerechtigungen für das Administratorkonto

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit AWS Managed Microsoft AD

AWS Managed Microsoft AD erstellt ein vollständig verwaltetes Microsoft Active Directory System, das von Windows Server 2019 unterstützt wird AWS Cloud und auf den Funktionsebenen 2012 R2 Forest und Domain betrieben wird. Wenn Sie ein Verzeichnis mit AWS Managed Microsoft AD erstellen, AWS Directory Service erstellt zwei Domänencontroller und fügt den DNS-Dienst in Ihrem Namen hinzu. Die Domain-Controller werden in verschiedenen Subnetzen in einer Amazon VPC erstellt. Durch diese Redundanz wird sichergestellt, dass Ihr Verzeichnis auch bei einem Ausfall zugänglich bleibt. Wenn Sie weitere Domain-Controller benötigen, können Sie diese später hinzufügen. Weitere Informationen finden Sie unter Bereitstellen zusätzlicher Domain-Controller.

AWS Voraussetzungen für verwaltetes Microsoft AD

Um ein AWS verwaltetes Microsoft AD zu erstellenActive Directory, benötigen Sie eine Amazon-VPC mit den folgenden Komponenten:

  • Mindestens zwei Subnetze. Jedes dieser Subnetze muss sich in einer anderen Availability Zone befinden.

  • Die VPC muss über Standard-Hardware-Tenancy verfügen.

  • Sie können kein AWS verwaltetes Microsoft AD in einer VPC mithilfe von Adressen im 198.18.0.0/15-Adressraum erstellen.

Wenn Sie Ihre AWS verwaltete Microsoft AD-Domäne in eine bestehende lokale Active Directory Domäne integrieren müssen, müssen Sie die Funktionsebenen Gesamtstruktur und Domäne für Ihre lokale Domäne auf Windows Server 2003 oder höher einstellen.

AWS Directory Service verwendet eine Struktur mit zwei VPCs. Die EC2-Instances, aus denen Ihr Verzeichnis besteht, laufen außerhalb Ihres AWS Kontos und werden von verwaltet. AWS Sie haben zwei Netzwerkadapter ETH0 und ETH1. ETH0 ist der Verwaltungsadapter und existiert außerhalb Ihres Kontos. ETH1 wird in Ihrem Konto erstellt.

Der IP-Verwaltungsbereich des ETH0-Netzwerks Ihres Verzeichnisses ist 198.18.0.0/15.

AWS IAM Identity Center Voraussetzungen

Wenn Sie planen, IAM Identity Center mit AWS Managed Microsoft AD zu verwenden, müssen Sie sicherstellen, dass Folgendes zutrifft:

  • Ihr AWS verwaltetes Microsoft AD-Verzeichnis ist im Verwaltungskonto Ihrer AWS Organisation eingerichtet.

  • Ihre Instanz von IAM Identity Center befindet sich in derselben Region, in der Ihr AWS verwaltetes Microsoft AD-Verzeichnis eingerichtet ist.

Weitere Informationen finden Sie unter Voraussetzungen für IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.

Voraussetzungen für Multifaktor-Authentifizierung

Um die Multi-Faktor-Authentifizierung mit Ihrem AWS verwalteten Microsoft AD-Verzeichnis zu unterstützen, müssen Sie entweder Ihren lokalen oder cloudbasierten RADIUS-Server (Remote Authentication Dial-In User Service) wie folgt konfigurieren, damit er Anfragen von Ihrem AWS verwalteten Microsoft AD-Verzeichnis annehmen kann. AWS

  1. Erstellen Sie auf Ihrem RADIUS-Server zwei RADIUS-Clients, die beide AWS verwalteten Microsoft AD-Domänencontroller (DCs) in AWS repräsentieren. Sie müssen beide Clients mit den folgenden allgemeinen Parametern konfigurieren (Ihr RADIUS-Server kann abweichen):

    • Adresse (DNS oder IP): Dies ist die DNS-Adresse für eines der AWS verwalteten Microsoft AD-DCs. Beide DNS-Adressen befinden sich in der AWS Directory Service Console auf der Detailseite des AWS verwalteten Microsoft AD-Verzeichnisses, in dem Sie MFA verwenden möchten. Die angezeigten DNS-Adressen stellen die IP-Adressen für beide AWS verwalteten Microsoft AD-DCs dar, die von AWS verwendet werden.

      Anmerkung

      Wenn Ihr RADIUS-Server DNS-Adressen unterstützt, müssen Sie nur eine RADIUS-Client-Konfiguration erstellen. Andernfalls müssen Sie eine RADIUS-Client-Konfiguration für jeden Domain-Controller in AWS Managed Microsoft AD erstellen.

    • Portnummer: Konfigurieren Sie die Portnummer, für die Ihr RADIUS-Server RADIUS-Client-Verbindungen akzeptiert. Der Standard-RADIUS-Port ist 1812.

    • Gemeinsamer geheimer Schlüssel: Geben Sie einen gemeinsamen geheimen Schlüssel ein oder generieren sie einen, der vom RADIUS-Server für die Verbindung mit RADIUS-Clients verwendet wird.

    • Protokoll: Möglicherweise müssen Sie das Authentifizierungsprotokoll zwischen den AWS verwalteten Microsoft AD-DCs und dem RADIUS-Server konfigurieren. Zu den unterstützten Protokollen zählen PAP, CHAP, MS-CHAPv1 und MS- CHAPv2. MS-CHAPv2 wird empfohlen, da es die höchste Sicherheit der drei Optionen bietet.

    • Anwendungs-Name: Dies kann optional in einigen RADIUS-Servern sein, und bestimmt in der Regel die Anwendung in Nachrichten oder Berichten.

  2. Konfigurieren Sie Ihr vorhandenes Netzwerk so, dass eingehender Verkehr von den RADIUS-Clients (DNS-Adressen von AWS verwalteten Microsoft AD DCs, siehe Schritt 1) zu Ihrem RADIUS-Serverport zugelassen wird.

  3. Fügen Sie der Amazon EC2-Sicherheitsgruppe in Ihrer AWS verwalteten Microsoft AD-Domain eine Regel hinzu, die eingehenden Datenverkehr von der zuvor definierten DNS-Adresse und Portnummer des RADIUS-Servers zulässt. Weitere Informationen finden Sie unter Hinzufügen von Regeln zu einer Sicherheitsgruppe im EC2-Benutzerhandbuch.

Weitere Informationen zur Verwendung von AWS Managed Microsoft AD mit MFA finden Sie unterAktivieren Sie die Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD.

Erstellen Sie Ihr AWS verwaltetes Microsoft AD

Zum Erstellen eines neuen Verzeichnisses führen Sie folgende Schritte aus. Bevor Sie dieses Verfahren beginnen, stellen Sie sicher, dass Sie die in AWS Voraussetzungen für verwaltetes Microsoft AD angegebenen Voraussetzungen erfüllt haben.

So erstellen Sie ein AWS verwaltetes Microsoft AD-Verzeichnis

  1. Wählen Sie im Navigationsbereich AWS Directory Service -Konsole den Eintrag Verzeichnisse und wählen Sie Verzeichnis einrichten aus.

  2. Wählen Sie auf der Seite Verzeichnistyp auswählen die Option AWS Managed Microsoft AD aus und klicken Sie dann auf Weiter.

  3. Geben Sie auf der Seite Enter directory information (Verzeichnisinformationen eingeben) die folgenden Informationen ein:

    Edition

    Wählen Sie zwischen der Standard Edition oder der Enterprise Edition von AWS Managed Microsoft AD. Weitere Informationen zu Editionen finden Sie unter AWS Directory Service für Microsoft Active Directory.

    DNS-Name des Verzeichnisses

    Den vollständig qualifizierten Namen für das Verzeichnis, z. B. corp.example.com.

    Anmerkung

    Wenn Sie Amazon Route 53 für DNS verwenden möchten, muss sich der Domainname Ihres AWS Managed Microsoft AD von Ihrem Route 53-Domainnamen unterscheiden. Probleme mit der DNS-Auflösung können auftreten, wenn Route 53 und AWS Managed Microsoft AD denselben Domainnamen verwenden.

    NetBIOS-Name des Verzeichnisses

    Die kurzen Namen für das Verzeichnis, z. B. CORP.

    Verzeichnisbeschreibung

    Eine optionale Beschreibung des Verzeichnisses.

    Administratorpasswort

    Das Passwort für den Verzeichnisadministrator. Mit der Verzeichniserstellung wird ein Administratorkonto mit dem Benutzernamen Admin und diesem Passwort angelegt.

    Das Passwort darf das Wort „admin“ nicht beinhalten.

    Das Verzeichnisadministrator-Passwort unterscheidet zwischen Groß-/ Kleinschreibung und muss zwischen 8 und 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:

    • Kleinbuchstaben (a – z)

    • Großbuchstaben (A – Z)

    • Zahlen (0 – 9)

    • Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirm password (Passwort bestätigen)

    Geben Sie das Administratorpasswort erneut ein.

  4. Geben Sie auf der Seite Choose VPC and subnets (VPC und Subnetze wählen) die folgenden Informationen an und wählen Sie dann Next (Weiter).

    VPC

    Die VPC für das Verzeichnis.

    Subnets

    Wählen Sie Subnetze für die Domain-Controller aus. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.

  5. Überprüfen Sie auf der Seite Review & create (Überprüfen und erstellen) die Verzeichnisinformationen und nehmen Sie gegebenenfalls Änderungen vor. Wenn die Informationen richtig sind, wählen Sie Create directory (Verzeichnis erstellen). Das Erstellen des Verzeichnisses dauert 20 bis 40 Minuten. Sobald sie erstellt wurden, ändert sich der Status in Active.

Was wird mit Ihrem AWS Managed Microsoft AD Active Directory erstellt

Wenn Sie ein Active Directory mit AWS Managed Microsoft AD erstellen, AWS Directory Service führt in Ihrem Namen die folgenden Aufgaben aus:

  • Erstellt automatisch eine Elastic-Network-Schnittstelle (ENI) und ordnet sie jedem Ihrer Domain-Controller zu. Jede dieser ENIs ist für die Konnektivität zwischen Ihrer VPC und den AWS Directory Service Domänencontrollern unerlässlich und sollte niemals gelöscht werden. Sie können alle Netzwerkschnittstellen, die für die Verwendung reserviert sind, AWS Directory Service anhand der Beschreibung identifizieren: "Netzwerkschnittstelle für Verzeichnis-ID AWS wurde erstellt“. Weitere Informationen finden Sie unter Elastic Network Interfaces im Amazon EC2 EC2-Benutzerhandbuch für Windows-Instances. Der Standard-DNS-Server von AWS Managed Microsoft AD Active Directory ist der VPC-DNS-Server bei Classless Inter-Domain Routing (CIDR) +2. Weitere Informationen finden Sie unter Amazon DNS-Server im Amazon VPC-Benutzerhandbuch.

    Anmerkung

    Domain-Controller werden standardmäßig in zwei Availability Zones in einer Region bereitgestellt und mit Ihrer Amazon VPC (VPC) verbunden. Backups werden automatisch einmal täglich erstellt, und die Amazon EBS (EBS) -Volumes werden verschlüsselt, um sicherzustellen, dass die Daten im Ruhezustand gesichert sind. Domain-Controller, die ausfallen, werden automatisch in derselben Availability Zone unter Verwendung derselben IP-Adresse ersetzt, und eine vollständige Notfallwiederherstellung kann unter Verwendung des letzten Backups durchgeführt werden.

  • Stellt Active Directory innerhalb Ihrer VPC mit zwei Domain-Controllern für Fehlertoleranz und hohe Verfügbarkeit bereit. Nachdem das Verzeichnis erfolgreich erstellt wurde und Aktiv ist, können weitere Domain-Controller bereitgestellt werden, um die Ausfallsicherheit und Leistung zu erhöhen. Weitere Informationen finden Sie unter Bereitstellen zusätzlicher Domain-Controller.

    Anmerkung

    AWS erlaubt nicht die Installation von Monitoring-Agents auf AWS verwalteten Microsoft AD-Domänencontrollern.

  • Erstellt eine AWS -Sicherheitsgruppe, die einen Netzwerkfilter für ein- und ausgehenden Datenverkehr Ihrer Domain-Controller einrichtet. Die Standardregel für ausgehenden Datenverkehr erlaubt den gesamten Datenverkehr, ENIs oder Instanzen, die an die erstellte AWS Sicherheitsgruppe angehängt sind. Die standardmäßige Regel für eingehenden Datenverkehr erlaubt nur den Datenverkehr über Ports, die von Active Directory aus jeder Quelle (0.0.0.0/0) benötigt werden. Die 0.0.0.0/0-Regeln führen nicht zu Sicherheitslücken, da der Datenverkehr zu den Domänencontrollern auf den Datenverkehr von Ihrer VPC, von anderen Peer-VPCs oder von Netzwerken beschränkt ist, die Sie über AWS Transit Gateway oder Virtual Private AWS Direct Connect Network verbunden haben. Zur zusätzlichen Sicherheit sind den erstellten ENIs keine Elastic IPs zugeordnet und Sie haben keine Berechtigung, diesen ENIs eine Elastic IP zuzuordnen. Daher ist der einzige eingehende Datenverkehr, der mit Ihrem AWS verwalteten Microsoft AD kommunizieren kann, lokaler VPC- und VPC-gerouteter Verkehr. Seien Sie äußerst vorsichtig, wenn Sie versuchen, diese Reglen zu ändern, da Sie die Fähigkeit zur Kommmunikation mit Ihren Domain-Controllern beeinträchtigen können. Weitere Informationen finden Sie unter Bewährte Methoden für AWS Managed Microsoft AD. Die folgenden AWS Sicherheitsgruppenregeln werden standardmäßig erstellt:

    Regeln für eingehenden Datenverkehr

    Protokoll Port-Bereich Quelle Datenverkehrstyp Verwendung von Active Directory
    ICMP N/A 0.0.0.0/0 Ping LDAP Keep Alive, DFS
    TCP und UDP 53 0.0.0.0/0 DNS Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen
    TCP und UDP 88 0.0.0.0/0 Kerberos Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene
    TCP und UDP 389 0.0.0.0/0 LDAP Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen
    TCP und UDP 445 0.0.0.0/0 SMB/CIFS Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen
    TCP und UDP 464 0.0.0.0/0 Kerberos Passwort ändern/einrichten Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen
    TCP 135 0.0.0.0/0 Replikation RPC, EPM
    TCP 636 0.0.0.0/0 LDAP SSL Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen
    TCP 1024 - 65535 0.0.0.0/0 RPC Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen
    TCP 3268 - 3269 0.0.0.0/0 LDAP GC und LDAP GC SSL Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen
    UDP 123 0.0.0.0/0 Windows-Uhrzeit Windows-Uhrzeit, Vertrauensstellungen
    UDP 138 0.0.0.0/0 DFSN & NetLogon DFS, Gruppenrichtlinie
    Alle Alle sg-################## Gesamter Datenverkehr

    Regeln für ausgehenden Datenverkehr

    Protokoll Port-Bereich Bestimmungsort Datenverkehrstyp Verwendung von Active Directory
    Alle Alle sg-################## Gesamter Datenverkehr

  • Weitere Informationen zu den von Active Directory verwendeten Ports und Protokollen finden Sie in der Microsoft-Dokumentation unter Serviceübersicht und Netzwerkportanforderungen für Windows.

  • Erstellt ein Verzeichnisadministratorkonto mit dem Benutzernamen Admin und dem angegebenen Passwort. Dieses Konto befindet sich unter der OU Benutzer (Beispiel: Corp > Benutzer). Sie verwenden dieses Konto, um Ihr Verzeichnis in der AWS Cloud zu verwalten. Weitere Informationen finden Sie unter Berechtigungen für das Administratorkonto.

    Wichtig

    Achten Sie darauf, dieses Passwort zu speichern. AWS Directory Service speichert dieses Passwort nicht und es kann nicht abgerufen werden. Sie können ein Passwort jedoch über die AWS Directory Service Konsole oder mithilfe der ResetUserPasswordAPI zurücksetzen.

  • Erstellt die folgenden drei Organisationeinheiten unter dem Domainstamm:

    Name der Organisationseinheit Beschreibung

    AWS Delegierte Gruppen

    		Speichert alle Gruppen, die Sie verwenden können, um AWS bestimmte Berechtigungen an Ihre Benutzer zu delegieren.
    AWS Reserviert Speichert alle AWS verwaltungsspezifischen Konten.
    <yourdomainname> Der Name dieser Organisationseinheit basiert auf dem NetBIOS-Namen, den Sie eingegeben haben, als Sie Ihr Verzeichnis erstellt haben. Wenn Sie keinen NetBIOS-Namen angegeben haben, wird dieser standardmäßig auf den ersten Teil Ihres Verzeichnis-DNS-Namens gesetzt (z. B. im Falle von corp.example.com wäre der NetBIOS-Name corp). Diese Organisationseinheit gehört all Ihren AWS zugehörigen Verzeichnisobjekten AWS und enthält diese, über die Sie Vollzugriff haben. Zwei untergeordnete OUs existieren unter dieser Organisationseinheit standardmäßig, Computer und Benutzer. Beispielsweise:

    • Corp

      • Computers (Computer)

      • Benutzer

  • Erstellt die folgenden Gruppen in der Organisationseinheit AWS Delegated Groups:

    Group name (Gruppenname) Beschreibung
    AWS Operatoren für delegierte Konten Mitglieder dieser Sicherheitsgruppe verfügen über begrenzte Funktionen zur Kontoverwaltung, wie beispielsweise das Zurücksetzen von Passwörtern

    AWS Delegierte Active-Directory-basierte Aktivierungsadministratoren

    Mitglieder dieser Sicherheitsgruppe können Active-Directory-Volumenlizenzaktivierungsobjekte erstellen, die es Unternehmen ermöglichen, Computer über eine Verbindung zu ihrer Domain zu aktivieren.
    AWS Delegiertes Hinzufügen von Arbeitsstationen zu Domänenbenutzern Mitglieder dieser Sicherheitsgruppe können einer Domain 10 Computer hinzufügen.
    AWS Delegierte Administratoren Mitglieder dieser Sicherheitsgruppe können AWS Managed Microsoft AD verwalten, haben volle Kontrolle über alle Objekte in Ihrer Organisationseinheit und können Gruppen verwalten, die in der Organisationseinheit AWS Delegated Groups enthalten sind.
    AWS Delegiert: Darf Objekte authentifizieren Mitgliedern dieser Sicherheitsgruppe wird die Möglichkeit gegeben, sich bei Computerressourcen in der AWS reservierten Organisationseinheit zu authentifizieren (nur für lokale Objekte mit aktivierter selektiver Authentifizierung als Trusts erforderlich).
    AWS Delegiert: Zur Authentifizierung bei Domänencontrollern zugelassen Mitglieder dieser Sicherheitsgruppe erhalten die Möglichkeit, sich bei Computerressourcen in der OU Domain-Controller zu authentifizieren (nur für On-Premises-Objekte mit Vertrauensstellungen mit aktivierter selektiver Authentifizierung erforderlich).

    AWS Delegierte Administratoren für die Gültigkeitsdauer gelöschter Objekte

    Mitglieder dieser Sicherheitsgruppe können das DeletedObjectLifetime MSDS-Objekt ändern, das festlegt, wie lange ein gelöschtes Objekt für die Wiederherstellung aus dem AD-Papierkorb verfügbar ist.
    AWS Delegierte Administratoren verteilter Dateisysteme Mitglieder dieser Sicherheitsgruppe können FRS-, DFS-R- und DFS-Namensräume hinzufügen.
    AWS Delegierte Administratoren von Domainnamensystemen Mitglieder dieser Sicherheitsgruppe können das in Active-Directory-integrierte DNS verwalten.
    AWS Delegierte Administratoren des Dynamic Host Configuration Protocol Mitglieder dieser Sicherheitsgruppe können Windows DHCP-Servern im Unternehmen autorisieren.
    AWS Delegierte Administratoren von Enterprise Certificate Authority Mitglieder dieser Sicherheitsgruppe können die Microsoft Enterprise Certificate Authority-Infrastruktur bereitstellen und verwalten.
    AWS Delegierte, fein abgestufte Administratoren für Kennwortrichtlinien Mitglieder dieser Sicherheitsgruppe können vorab festgelegte differenzierte Passwortrichtlinien abändern.
    AWS Delegierte FSx-Administratoren Mitglieder dieser Sicherheitsgruppe haben die Möglichkeit, Amazon-FSx-Ressourcen zu verwalten.
    AWS Delegierte Gruppenrichtlinien-Administratoren Mitglieder dieser Sicherheitsgruppe können Verwaltungsaufgaben für Gruppenrichtlinien durchführen (erstellen, bearbeiten, löschen, verlinken).
    AWS Delegierte Kerberos-Delegierungsadministratoren Mitglieder dieser Sicherheitsgruppe können eine Delegation auf Computer- und Benutzerkontenobjekten aktivieren.
    AWS Delegierte Administratoren für verwaltete Dienstkonten Mitglieder dieser Sicherheitsgruppe können Managed Service-Konten erstellen und löschen.
    AWS Delegierte, nicht konforme MS-NPRC-Geräte Mitglieder dieser Sicherheitsgruppe werden von der Anforderung einer Secure Channel Kommunikation mit Domain-Controllern ausgenommen. Diese Gruppe ist für Computerkonten vorgesehen.
    AWS Delegierte Administratoren des Fernzugriffsdienstes Mitglieder dieser Sicherheitsgruppe können RAS-Server aus der Gruppe der RAS- und IAS-Server hinzufügen und entfernen.
    AWS Delegierte Administratoren für replizierte Verzeichnisänderungen Mitglieder dieser Sicherheitsgruppe können Profilinformationen in Active Directory mit dem SharePoint Server synchronisieren.
    AWS Delegierte Serveradministratoren Mitglieder dieser Sicherheitsgruppe sind in der lokalen Administratorgruppe auf allen mit der Domain verknüpften Computern enthalten.
    AWS Delegierte Sites- und Services-Administratoren Mitglieder dieser Sicherheitsgruppe können das Default-First-Site-Name-Objekt an Active-Directory-Standorten und in Active-Directory-Services umbenennen.
    AWS Delegierte Systemverwaltungsadministratoren Mitglieder dieser Sicherheitsgruppe können Objekte im Systemverwaltungscontainer erstellen und verwalten.
    AWS Delegierte Administratoren für die Terminalserver-Lizenzierung Mitglieder dieser Sicherheitsgruppe können der Terminal Server License Servers-Gruppe Terminal Server License Server hinzufügen und sie daraus entfernen.
    AWS Delegierte Administratoren mit Benutzerprinzipalnamensuffixen Mitglieder dieser Sicherheitsgruppe können Suffixe für den Benutzer-Prinzipalnamen hinzufügen und entfernen.

  • Erstellt die folgenden Gruppenrichtlinienobjekte (GPOs) und wendet sie an:

    Anmerkung

    Sie sind nicht berechtigt, diese GPOs zu löschen, zu ändern oder die Verknüpfung aufzuheben. Dies ist beabsichtigt, da sie der Verwendung vorbehalten AWS sind. Sie können sie bei Bedarf mit OUs verknüpfen, die Sie kontrollieren.

    Gruppenrichtlinienname Gilt für Beschreibung
    Standard-Domainrichtlinie Domain Beinhaltet Domainpasswort und Kerberos-Richtlinien.
    ServerAdmins Alle Computerkonten, die keine Domain-Controller sind Fügt die „AWS Delegierten Serveradministratoren“ als Mitglied der Gruppe BUILTIN\ Administrators hinzu.
    AWS Reservierte Richtlinie: Benutzer AWS Reservierte Benutzerkonten Legt die empfohlenen Sicherheitseinstellungen für alle Benutzerkonten in der AWS reservierten Organisationseinheit fest.
    AWS Verwaltete Active Directory-Richtlinie Alle Domain-Controller Legt die empfohlenen Sicherheitseinstellungen auf allen Domain-Controllern fest.
    TimePolicyNT5DS Alle Domain-Controller, die nicht PDCe sind Legt für alle Nicht-PDCe-Domain-Controller die Zeitrichtlinie fest, dass sie Windows Time (NT5DS) verwenden.
    TimePolicyPDC Der PDCe-Domain-Controller Legt fest, dass die Zeitrichtlinie des PDCe-Domain-Controllers Network Time Protocol (NTP) verwendet.
    Standardrichtlinie für Domain-Controller Nicht verwendet Stattdessen wird die AWS verwaltete Active Directory-Richtlinie verwendet, die während der Domänenerstellung bereitgestellt wird.

    Wenn Sie die Einstellungen der einzelnen Richtlinien sehen möchten, können Sie diese von einer domainverbundenen Windows-Instance mit aktivierter Gruppenrichtlinien-Verwaltungskonsole (GPMC) aus einsehen.

Berechtigungen für das Administratorkonto

Wenn Sie einen AWS Directory Service für das Microsoft Active Directory-Verzeichnis erstellen, AWS wird eine Organisationseinheit (OU) erstellt, in der alle AWS zugehörigen Gruppen und Konten gespeichert werden. Weitere Informationen über diese OU finden Sie unter Was wird mit Ihrem AWS Managed Microsoft AD Active Directory erstellt. Dies umfasst auch das Admin-Konto. Das Admin-Konto verfügt über die Berechtigungen zur Durchführung allgemeiner administrativer Aktivitäten für Ihre OU:

  • Hinzufügen, Aktualisieren oder Löschen von Benutzern, Gruppen und Computern. Weitere Informationen finden Sie unter Benutzer und Gruppen in AWS Managed Microsoft AD verwalten.

  • Hinzufügen von Ressourcen zu Ihrer Domain, etwa Datei- oder Druckserver, und anschließendes Gewähren der zugehörigen Ressourcenberechtigungen für Benutzer und Gruppen in der OU.

  • Erstellen weiterer OUs und Container.

  • Delegieren Sie die Autorität für zusätzliche OUs und Container. Weitere Informationen finden Sie unter Delegieren von Berechtigungen zum Verbinden eines Verzeichnisses für AWS Managed Microsoft AD.

  • Erstellen und Verknüpfen von Gruppenrichtlinien.

  • Wiederherstellen von gelöschten Objekten aus dem Active Directory-Papierkorb.

  • Führen Sie Active Directory- und Windows PowerShell DNS-Module im Active Directory-Webdienst aus.

  • Erstellen und konfigurieren von gruppenverwalteten Service-Konten. Weitere Informationen finden Sie unter Gruppenverwaltete Service-Konten.

  • Konfigurieren einer eingeschränkten Kerberos-Delegierung. Weitere Informationen finden Sie unter Eingeschränkte Kerberos-Delegierung.

Das Administratorkonto verfügt zudem über die Rechte zum Ausführen der folgenden domainübergreifenden Aktivitäten:

  • Verwalten von DNS-Konfigurationen (Hinzufügen, Entfernen oder Aktualisieren von Datensätzen, Zonen und Weiterleitungen)

  • Aufrufen von DNS-Ereignisprotokollen

  • Anzeigen von Sicherheitsereignisprotokollen

Nur die hier aufgelisteten Aktionen können mit dem Administratorkonto ausgeführt werden. Das Administratorkonto hat keine Berechtigungen für verzeichnisbezogene Aktionen außerhalb Ihrer OU, etwa in der übergeordneten OU.

Wichtig

AWS Domänenadministratoren haben vollen Administratorzugriff auf alle Domänen, auf denen gehostet wird AWS. Weitere Informationen zum AWS Umgang mit Inhalten, einschließlich Verzeichnisinformationen, die AWS Sie auf AWS Systemen speichern, finden Sie in Ihrer Vereinbarung mit AWS und in den häufig gestellten Fragen zum Datenschutz.

Anmerkung

Es wird empfohlen, dieses Konto nicht zu löschen oder umzubenennen. Wenn Sie das Konto nicht mehr verwenden möchten, empfehlen wir Ihnen, ein langes Passwort (maximal 64 zufällige Zeichen) festzulegen und dann das Konto zu deaktivieren.

Privilegierte Enterprise- und Domainadministrator-Konten

AWS wechselt das integrierte Administratorkennwort alle 90 Tage automatisch zu einem zufälligen Passwort. Jedes Mal, wenn das integrierte Administratorkennwort für den menschlichen Gebrauch angefordert wird, wird ein AWS Ticket erstellt und beim AWS Directory Service Team protokolliert. Die Kontoanmeldeinformationen werden verschlüsselt und über sichere Kanäle verwaltet. Außerdem können die Anmeldeinformationen für das Administratorkonto nur vom AWS Directory Service Managementteam angefordert werden.

Für die operative Verwaltung Ihres Verzeichnisses AWS hat es die ausschließliche Kontrolle über Konten mit Unternehmensadministrator- und Domänenadministratorrechten. Dies beinhaltet die ausschließliche Kontrolle über das Active Directory-Administratorkonto. AWS schützt dieses Konto, indem die Passwortverwaltung mithilfe eines Passwort-Tresors automatisiert wird. AWS Erstellt während der automatischen Rotation des Administratorkennworts ein temporäres Benutzerkonto und gewährt ihm Domänenadministratorrechte. Dieses temporäre Konto wird im Falle eines Passwortrotationsfehlers im Administratorkonto als Backup verwendet. AWS Löscht nach AWS erfolgreicher Rotation des Administratorkennworts das temporäre Administratorkonto.

Normalerweise wird das Verzeichnis vollständig automatisiert AWS betrieben. Falls ein Automatisierungsprozess ein Betriebsproblem nicht lösen AWS kann, muss sich möglicherweise ein Support-Techniker bei Ihrem Domänencontroller (DC) anmelden, um die Diagnose durchzuführen. AWS Implementiert in diesen seltenen Fällen ein Anforderungs-/Benachrichtigungssystem, um den Zugriff zu gewähren. Bei diesem Vorgang erstellt die AWS Automatisierung ein zeitlich begrenztes Benutzerkonto in Ihrem Verzeichnis, das über Domänenadministratorberechtigungen verfügt. AWS ordnet das Benutzerkonto dem Techniker zu, der mit der Bearbeitung Ihres Verzeichnisses beauftragt ist. AWS zeichnet diese Zuordnung in unserem Protokollsystem auf und stellt dem Techniker die zu verwendenden Anmeldeinformationen zur Verfügung. Alle durchgeführten Aktionen des Technikers werden in den Windows-Ereignisprotokollen protokolliert. Wenn die zugeordnete Zeit verstrichen ist, löscht die Automatisierung das Benutzerkonto.

Sie können administrative Aktivitäten überwachen, indem Sie das Protokoll-Weiterleitungsfeature Ihres Verzeichnisses verwenden. Mit dieser Funktion können Sie die AD Security-Ereignisse an Ihr CloudWatch System weiterleiten, wo Sie Überwachungslösungen implementieren können. Weitere Informationen finden Sie unter Protokollweiterleitung aktivieren.

Die Sicherheitsereignis-IDs 4 624, 4 672 und 4 648 werden alle protokolliert, wenn sich jemand interaktiv bei einem DC anmeldet. Sie können das Windows Security-Ereignisprotokoll jedes DCs mit der Ereignisanzeige Microsoft Management Console (MMC) von einem Windows-Computer aus einsehen, der einer Domain angeschlossen ist. Sie können auch Protokollweiterleitung aktivieren alle CloudWatch Sicherheitsereignisprotokolle an Logs in Ihrem Konto senden.

Es kann gelegentlich vorkommen, dass Benutzer innerhalb der AWS reservierten Organisationseinheit erstellt und gelöscht wurden. AWS ist verantwortlich für die Verwaltung und Sicherheit aller Objekte in dieser Organisationseinheit und allen anderen Organisationseinheiten oder Containern, deren Zugriff und Verwaltung wir Ihnen nicht delegiert haben. Möglicherweise sehen Sie Erstellungen und Löschungen in dieser Organisationseinheit. Dies liegt daran, dass das Domänenadministratorkennwort AWS Directory Service mithilfe von Automatisierung regelmäßig gewechselt wird. Wenn das Passwort rotiert wird, wird ein Backup erstellt, falls die Rotation fehlschlägt. Sobald die Rotation erfolgreich ist, wird das Backup-Konto automatisch gelöscht. Für den seltenen Fall, dass zur Fehlerbehebung interaktiver Zugriff auf die DCs erforderlich ist, wird außerdem ein temporäres Benutzerkonto für einen AWS Directory Service Techniker erstellt. Sobald ein Techniker seine Arbeit abgeschlossen hat, wird das temporäre Benutzerkonto gelöscht. Beachten Sie, dass jedes Mal, wenn interaktive Anmeldeinformationen für ein Verzeichnis angefordert werden, das AWS Directory Service Managementteam benachrichtigt wird.