Memulai dengan Microsoft AD yang AWS Dikelola

AWS Microsoft AD yang dikelola sepenuhnya menciptakan yang dikelola sepenuhnya, Microsoft Active Directory di AWS Cloud dan didukung oleh Windows Server 2019 dan beroperasi pada tingkat fungsional Hutan dan Domain R2 2012. Saat Anda membuat direktori dengan Microsoft AD AWS Terkelola, AWS Directory Service buat dua pengontrol domain dan tambahkan layanan DNS atas nama Anda. Pengontrol domain dibuat dalam subnet yang berbeda di VPC Amazon, redundansi ini membantu memastikan bahwa direktori Anda tetap dapat diakses bahkan jika terjadi kegagalan. Jika Anda membutuhkan lebih banyak pengendali domain, Anda dapat menambahkannya nanti. Untuk informasi selengkapnya, lihat Men-deploy pengendali domain tambahan.

AWS Prasyarat Microsoft AD yang dikelola

Untuk membuat iklan Microsoft yang AWS DikelolaActive Directory, Anda memerlukan VPC Amazon dengan yang berikut ini:

• Setidaknya dua subnet. Setiap subnet harus berada di Availability Zone yang berbeda.

• VPC harus memiliki penghunian perangkat keras default.

• Anda tidak dapat membuat iklan Microsoft AWS Terkelola di VPC menggunakan alamat di ruang alamat 198.18.0.0/15.

Jika Anda perlu mengintegrasikan domain Microsoft AD AWS Terkelola dengan Active Directory domain lokal yang ada, Anda harus memiliki tingkat fungsional Forest dan Domain untuk domain lokal yang disetel ke Windows Server 2003 atau yang lebih tinggi.

AWS Directory Service menggunakan dua struktur VPC. Instans EC2 yang membentuk direktori Anda berjalan di luar AWS akun Anda, dan dikelola oleh. AWS Mereka memiliki dua adaptor jaringan, ETH0 dan ETH1. ETH0 adalah adaptor pengelola, dan berada di luar akun Anda. ETH1 dibuat dalam akun Anda.

Rentang IP pengelola jaringan ETH0 direktori Anda adalah 198.18.0.0/15.

AWS IAM Identity Center prasyarat

Jika Anda berencana untuk menggunakan Pusat Identitas IAM dengan Microsoft AD yang AWS Dikelola, Anda perlu memastikan bahwa berikut ini benar:

• Direktori Microsoft AD AWS Terkelola Anda disiapkan di akun manajemen AWS organisasi Anda.

• Instance Pusat Identitas IAM Anda berada di Wilayah yang sama tempat direktori Microsoft AD AWS Terkelola Anda disiapkan.

Untuk informasi selengkapnya, lihat prasyarat Pusat Identitas IAM di Panduan Pengguna. AWS IAM Identity Center

Prasyarat autentikasi multi-faktor

Untuk mendukung autentikasi multi-faktor dengan direktori AWS Microsoft AD Terkelola, Anda harus mengonfigurasi server Layanan Pengguna Dial-In (RADIUS) Autentikasi Jarak Jauh (RADIUS) lokal atau berbasis Internet dengan cara berikut agar dapat menerima permintaan dari direktori Microsoft AD yang Dikelola di. AWS AWS

1. Di server RADIUS Anda, buat dua klien RADIUS untuk mewakili kedua pengontrol domain Microsoft AD AWS Terkelola (DC) di. AWS Anda harus mengkonfigurasi kedua klien menggunakan parameter umum berikut (server RADIUS Anda dapat bervariasi):

   • Alamat (DNS atau IP): Ini adalah alamat DNS untuk salah satu AWS Microsoft AD DC yang Dikelola. Kedua alamat DNS dapat ditemukan di AWS Directory Service Console pada halaman Detail direktori Microsoft AD yang AWS dikelola tempat Anda berencana untuk menggunakan MFA. Alamat DNS yang ditampilkan mewakili alamat IP untuk kedua DC AD Microsoft AWS Terkelola yang digunakan oleh. AWS

     catatan

     Jika server RADIUS mendukung alamat DNS, Anda harus membuat hanya satu konfigurasi klien RADIUS. Jika tidak, Anda harus membuat satu konfigurasi klien RADIUS untuk setiap Microsoft AD DC yang Dikelola AWS .

   • Angka port: Mengkonfigurasi nomor port yang server RADIUS Anda menerima koneksi klien RADIUS. Port RADIUS standar adalah 1812.

   • Rahasia bersama: Ketik atau buat rahasia bersama yang server RADIUS akan gunakan untuk terhubung dengan klien RADIUS.

   • Protokol: Anda mungkin perlu mengonfigurasi protokol otentikasi antara Microsoft AD DC yang AWS Dikelola dan server RADIUS. Protokol yang didukung adalah PAP, CHAP MS-CHAPv1, dan MS-CHAPv2. MS-CHAPv2 direkomendasikan karena menyediakan keamanan terkuat dari tiga pilihan.

   • Nama aplikasi: Ini mungkin opsional di beberapa server RADIUS dan biasanya mengidentifikasi aplikasi dalam pesan atau laporan.

2. Konfigurasikan jaringan yang ada untuk mengizinkan lalu lintas masuk dari klien RADIUS (Alamat DNS Microsoft AD DC yang AWS dikelola, lihat Langkah 1) ke port server RADIUS Anda.

3. Tambahkan aturan ke grup keamanan Amazon EC2 di domain AWS Microsoft AD Terkelola yang memungkinkan lalu lintas masuk dari alamat DNS server RADIUS dan nomor port yang ditentukan sebelumnya. Untuk informasi selengkapnya, lihat Menambahkan aturan ke sebuah grup keamanan di Panduan Pengguna EC2.

Untuk informasi selengkapnya tentang menggunakan Microsoft AD yang AWS Dikelola dengan MFA, lihat. Aktifkan otentikasi multi-faktor untuk AWS Microsoft AD yang Dikelola

Membuat iklan Microsoft AWS Terkelola

Untuk membuat direktori baru, lakukan langkah-langkah berikut. Sebelum memulai prosedur ini, pastikan Anda telah menyelesaikan prasyarat yang diidentifikasi dalam AWS Prasyarat Microsoft AD yang dikelola.

Untuk membuat direktori Microsoft AD yang AWS Dikelola

1. Di panel navigasi konsol AWS Directory Service, pilih Direktori, lalu pilih Atur direktori.

2. Di halaman Pilih jenis direktori, pilih Microsoft AD yang Dikelola AWS , lalu pilih Selanjutnya.

3. Di halaman Masukkan informasi direktori, berikan informasi berikut:

   Edisi

   Pilih dari Edisi Standar atau Edisi Perusahaan dari Microsoft AD yang AWS Dikelola. Untuk informasi selengkapnya tentang edisi, lihat Directory Service AWS untuk Microsoft Active Directory.

   Nama DNS direktori

   Nama berkualifikasi penuh untuk direktori, seperti corp.example.com.

   catatan

   Jika Anda berencana menggunakan Amazon Route 53 untuk DNS, nama domain Microsoft AD yang AWS Dikelola harus berbeda dengan nama domain Route 53 Anda. Masalah resolusi DNS dapat terjadi jika Route 53 dan Microsoft AD yang AWS Dikelola berbagi nama domain yang sama.

   Direktori nama NetBIOS

   Nama singkat untuk direktori, seperti CORP.

   Deskripsi direktori

   Deskripsi opsional untuk direktori.

   Kata sandi admin

   Kata sandi administrator direktori. Proses pembuatan direktori menciptakan akun administrator dengan nama pengguna Admin dan kata sandi ini.

   Kata sandi tidak dapat menyertakan kata "admin."

   Kata sandi administrator direktori peka akan huruf besar kecil dan harus terdiri dari 8 sampai 64 karakter, inklusif. Kata sandi juga harus berisi minimal satu karakter dalam tiga dari empat kategori berikut:

   • Huruf kecil (a-z)

   • Huruf besar (A-Z)

   • Angka (0-9)

   • Karakter non-alfanumerik (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

   Konfirmasikan kata sandi

   Ketik ulang kata sandi administrator.

4. Pada halaman Pilih VPC dan subnet, berikan informasi berikut ini, lalu pilih Selanjutnya.

   VPC

   VPC untuk direktori.

   Subnet

   Pilih subnet untuk pengendali domain. Kedua subnet harus berada di Zona Ketersediaan yang berbeda.

5. Pada halaman Tinjau & buat, tinjau informasi direktori dan buat perubahan yang diperlukan. Jika informasi sudah benar, pilih Buat direktori. Membuat direktori membutuhkan waktu 20 sampai 40 menit. Setelah dibuat, nilai Status berubah ke Aktif.

Apa yang dibuat dengan Direktori Aktif Microsoft AD AWS Terkelola

Saat Anda membuat Direktori Aktif dengan Microsoft AD yang AWS Dikelola, AWS Directory Service lakukan tugas berikut atas nama Anda:

• Secara otomatis membuat dan mengasosiasikan antarmuka jaringan elastis (ENI) dengan masing-masing pengendali domain Anda. Masing-masing ENI ini penting untuk konektivitas antara VPC AWS Directory Service dan pengontrol domain Anda dan tidak boleh dihapus. Anda dapat mengidentifikasi semua antarmuka jaringan yang dicadangkan untuk digunakan AWS Directory Service dengan deskripsi: "AWS menciptakan antarmuka jaringan untuk direktori-id direktori”. Untuk informasi selengkapnya, lihat Antarmuka Jaringan Elastis di Panduan Pengguna Amazon EC2. Server DNS default dari Microsoft AD yang AWS Dikelola Active Directory adalah server DNS VPC di Classless Inter-Domain Routing (CIDR) +2. Untuk informasi selengkapnya, lihat Server DNS Amazon di Panduan Pengguna Amazon VPC.

  catatan

  Pengontrol domain diterapkan di dua Availability Zone di suatu wilayah secara default dan terhubung ke Amazon VPC (VPC) Anda. Pencadangan diambil secara otomatis sekali sehari, dan volume Amazon EBS (EBS) dienkripsi untuk memastikan bahwa data diamankan saat istirahat. Pengendali domain yang gagal secara otomatis diganti di Availability Zone yang sama menggunakan alamat IP yang sama, dan pemulihan bencana penuh dapat dilakukan dengan menggunakan backup terbaru.

• Persediaan Direktori Aktif dalam VPC Anda menggunakan dua pengendali domain untuk toleransi kesalahan dan ketersediaan tinggi. Pengendali domain yang lebih dapat disediakan untuk ketahanan yang lebih tinggi dan performa setelah direktori telah berhasil dibuat dan Aktif. Untuk informasi selengkapnya, lihat Men-deploy pengendali domain tambahan.

  catatan

  AWS tidak mengizinkan penginstalan agen pemantauan pada pengontrol domain Microsoft AD AWS Terkelola.

• Membuat AWS kelompok keamanan yang menetapkan aturan jaringan untuk lalu lintas masuk dan keluar dari pengendali domain Anda. Aturan keluar default mengizinkan semua ENI lalu lintas atau instance yang dilampirkan ke Grup Keamanan yang dibuat. AWS Aturan masuk default hanya mengizinkan lalu lintas melalui port-port yang diperlukan oleh Direktori Aktif dari setiap sumber (0.0.0.0/0). Aturan 0.0.0.0/0 tidak memperkenalkan kerentanan keamanan karena lalu lintas ke pengontrol domain terbatas pada lalu lintas dari VPC Anda, dari VPC peered lainnya, atau dari jaringan yang telah Anda sambungkan menggunakan, Transit Gateway, atau Jaringan Pribadi Virtual. AWS Direct Connect AWS Untuk keamanan tambahan, ENI yang dibuat tidak memiliki IP Elastis melekat padanya dan Anda tidak memiliki izin untuk melampirkan IP Elastis untuk ENI tersebut. Oleh karena itu, satu-satunya lalu lintas masuk yang dapat berkomunikasi dengan Microsoft AD AWS Terkelola Anda adalah lalu lintas lokal yang dirutekan VPC dan VPC. Gunakan sangat hati-hati jika Anda mencoba untuk mengubah aturan-aturan ini karena mungkin dapat merusak kemampuan Anda untuk berkomunikasi dengan pengendali domain Anda. Untuk informasi selengkapnya, lihat Praktik terbaik untuk Microsoft AD yang AWS Dikelola. Aturan Grup AWS Keamanan berikut dibuat secara default:

  Aturan Masuk

  Protokol	Rentang port	Sumber	Jenis lalu lintas	Penggunaan Direktori Aktif
  ICMP	N/A	0.0.0.0/0	Ping	LDAP Tetap Hidup, DFS
  TCP & UDP	53	0.0.0.0/0	DNS	Autentikasi pengguna dan komputer, resolusi nama, kepercayaan
  TCP & UDP	88	0.0.0.0/0	Kerberos	Autentikasi pengguna dan komputer, kepercayaan tingkat forest
  TCP & UDP	389	0.0.0.0/0	LDAP	Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan
  TCP & UDP	445	0.0.0.0/0	SMB / CIFS	Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan
  TCP & UDP	464	0.0.0.0/0	Kerberos mengubah / mengatur kata sandi	Replikasi, pengguna dan autentikasi komputer, kepercayaan
  TCP	135	0.0.0.0/0	Replikasi	RPC, EPM
  TCP	636	0.0.0.0/0	LDAP SSL	Direktori, replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan
  TCP	1024 - 65535	0.0.0.0/0	RPC	Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan
  TCP	3268 - 3269	0.0.0.0/0	LDAP GC & LDAP GC SSL	Direktori, replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan
  UDP	123	0.0.0.0/0	Waktu Windows	Waktu Windows, kepercayaan
  UDP	138	0.0.0.0/0	DFSN & NetLogon	DFS, kebijakan grup
  Semua	Semua	sg-##############	Semua Lalu Lintas

  Aturan Keluar

  Protokol	Rentang Port	Tujuan	Jenis lalu lintas	Penggunaan Direktori Aktif
  Semua	Semua	sg-##############	Semua Lalu Lintas

• Untuk informasi selengkapnya tentang port dan protokol yang digunakan oleh Active Directory, lihat Ringkasan layanan dan persyaratan port jaringan untuk Windows di dokumentasi Microsoft.

• Membuat akun administrator direktori dengan nama pengguna Admin dan kata sandi yang ditentukan. Akun ini terletak di bawah Pengguna OU (Contohnya, Corp > Pengguna). Anda menggunakan akun ini untuk mengelola direktori Anda di AWS Cloud. Untuk informasi selengkapnya, lihat Izin untuk akun Administrator.

  penting

  Pastikan untuk menyimpan kata sandi ini. AWS Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil. Namun, Anda dapat mengatur ulang kata sandi dari AWS Directory Service konsol atau dengan menggunakan ResetUserPasswordAPI.

• Menciptakan tiga unit organisasi (OUs) berikut di bawah root domain:

  Nama OU	Deskripsi
  AWS Grup yang Delegasikan	Menyimpan semua grup yang dapat Anda gunakan untuk mendelegasikan izin AWS tertentu kepada pengguna Anda.
  AWS Reserved	Menyimpan semua akun khusus AWS manajemen.
  <yourdomainname>	Nama OU ini didasarkan dari nama NetBIOS yang Anda ketik saat membuat direktori. Jika Anda tidak menentukan nama NetBIOS, nama itu akan default ke bagian pertama dari nama DNS direktori Anda (misalnya, dalam kasus corp.example.com, nama NetBIOS adalah corp). OU ini dimiliki oleh AWS dan berisi semua objek direktori AWS terkait Anda, yang Anda diberikan Kontrol Penuh atas. Dua anak OU ada di bawah OU ini secara default; Komputer dan Pengguna. Sebagai contoh: Corp Komputer Pengguna

• Membuat grup berikut di Grup AWS Delegasi OU:

  Nama grup	Deskripsi
  AWS Operator Akun yang Delegasikan	Anggota grup keamanan ini memiliki kemampuan manajemen akun terbatas seperti pengaturan ulang kata sandi
  AWS Administrator Aktivasi Berbasis Direktori Aktif yang Delegasikan	Anggota grup keamanan ini dapat membuat objek aktivasi lisensi volume Directory Aktif, yang memungkinkan korporasi untuk mengaktifkan komputer melalui sambungan ke domain mereka.
  AWS Delegasikan Tambahkan Workstation Ke Pengguna Domain	Anggota grup keamanan ini dapat menggabungkan 10 komputer ke sebuah domain.
  AWS Administrator yang didelegasikan	Anggota grup keamanan ini dapat mengelola Microsoft AD yang AWS Dikelola, memiliki kontrol penuh atas semua objek di OU Anda dan dapat mengelola grup yang terdapat dalam OU Grup AWS Delegasi.
  AWS Delegasi Diizinkan untuk Mengautentikasi Objek	Anggota grup keamanan ini diberikan kemampuan untuk mengautentikasi ke sumber daya komputer di OU AWS Cadangan (Hanya diperlukan untuk objek lokal dengan Trusts yang diaktifkan Autentikasi Selektif).
  AWS Delegasi Diizinkan untuk Mengautentikasi ke Pengontrol Domain	Anggota grup keamanan ini diberikan kemampuan untuk mengautentikasi ke sumber daya komputer di Pengendali Domain OU (hanya diperlukan untuk objek on-promise dengan Kepercayaan yang Autentikasi Selektif diaktifkan).
  AWS Administrator Seumur Hidup Objek Dihapus yang Delegasikan	Anggota grup keamanan ini dapat memodifikasi DeletedObjectLifetime objek MSDS-, yang menentukan berapa lama objek yang dihapus akan tersedia untuk dipulihkan dari Tempat Sampah AD.
  AWS Administrator Sistem File Terdistribusi yang Delegasikan	Anggota grup keamanan ini dapat menambah dan menghapus FRS, DFS-R, dan ruang nama DFS.
  AWS Administrator Sistem Nama Domain yang Delegasikan	Anggota grup keamanan ini dapat mengelola DNS terintegrasi Direktori Aktif.
  AWS Administrator Protokol Konfigurasi Host Dinamis yang Delegasikan	Anggota grup keamanan ini dapat mengautorisasi server Windows DHCP di korporasi.
  AWS Administrator Otoritas Sertifikat Perusahaan yang Delegasikan	Anggota grup keamanan ini dapat men-deploy dan mengelola infrastruktur Otoritas Sertifikat Microsoft Enterprise.
  AWS Administrator Kebijakan Kata Sandi Berbutir Halus yang Delegasikan	Anggota grup keamanan ini dapat memodifikasi kebijakan kata sandi terperinci yang telah dibuat sebelumnya.
  AWS Administrator FSx yang didelegasikan	Anggota grup keamanan ini diberikan kemampuan untuk mengelola sumber daya Amazon FSx.
  AWS Administrator Kebijakan Grup yang Delegasikan	Anggota grup keamanan ini dapat melakukan tugas manajemen kebijakan grup (membuat, mengedit, menghapus, tautan).
  AWS Administrator Delegasi Kerberos yang Delegasi	Anggota grup keamanan ini dapat mengaktifkan delegasi pada komputer dan objek akun pengguna.
  AWS Administrator Akun Layanan Terkelola yang Delegasikan	Anggota grup keamanan ini dapat membuat dan menghapus Akun Layanan Terkelola.
  AWS Perangkat Non-Compliant MS-NPRC yang Delegasikan	Anggota grup keamanan ini akan diberikan pengecualian dari memerlukan komunikasi saluran aman dengan pengendali domain. Grup ini adalah untuk akun komputer.
  AWS Administrator Layanan Akses Jarak Jauh yang Delegasikan	Anggota grup keamanan ini dapat menambah dan menghapus server RAS dari grup Server RAS dan IAS.
  AWS Administrator Perubahan Direktori Replikasi yang Delegasikan	Anggota grup keamanan ini dapat menyinkronkan informasi profil di Active Directory dengan SharePoint Server.
  AWS Administrator Server yang Delegasikan	Anggota grup keamanan ini termasuk dalam grup administrator lokal pada semua komputer yang tergabung di domain.
  AWS Administrator Situs dan Layanan yang Delegasikan	Anggota grup keamanan ini dapat mengubah nama objek Default-First-Site-Name di Situs dan Layanan Direktori Aktif.
  AWS Administrator Manajemen Sistem yang Delegasikan	Anggota grup keamanan ini dapat membuat dan mengelola objek dalam kontainer pengelolaan sistem.
  AWS Administrator Lisensi Server Terminal yang Delegasikan	Anggota grup keamanan ini dapat menambah dan menghapus Server Lisensi Server Terminal dari grup Server Lisensi Server Terminal.
  AWS Administrator Akhiran Nama Utama Pengguna yang Delegasikan	Anggota grup keamanan ini dapat menambah dan menghapus akhiran nama utama pengguna.

• Menciptakan dan menerapkan Objek Kebijakan Grup (GPO) berikut:

  catatan

  Anda tidak memiliki izin untuk menghapus, memodifikasi, atau membatalkan tautan GPO ini. Ini dengan desain karena dicadangkan untuk AWS digunakan. Anda dapat menautkan mereka ke OU yang Anda kendalikan jika diperlukan.

  Nama kebijakan grup	Berlaku untuk	Deskripsi
  Kebijakan Domain Default	Domain	Termasuk kebijakan kata sandi domain dan Kerberos.
  ServerAdmins	Semua akun komputer pengendali non domain	Menambahkan 'Administrator Server AWS Delegasi' sebagai anggota Grup BUILTIN\ Administrators.
  AWS Kebijakan Cadangan: Pengguna	AWS Akun pengguna yang dicadangkan	Menetapkan pengaturan keamanan yang disarankan pada semua akun pengguna di OU AWS Cadangan.
  AWS Kebijakan Direktori Aktif Terkelola	Semua pengendali domain	Atur pengaturan keamanan yang direkomendasikan pada semua pengendali domain.
  TimePolicyNT5DS	Semua pengendali domain non PDCe	Atur semua kebijakan waktu pengendali domain non PDCe untuk menggunakan Windows Time (NT5DS).
  TimePolicyPDC	Pengendali domain PDCe	Atur kebijakan waktu pengendali domain PDCe untuk menggunakan Network Time Protocol (NTP).
  Kebijakan pengendali Domain default	Tidak digunakan	Disediakan selama pembuatan domain, Kebijakan Direktori Aktif AWS Terkelola digunakan sebagai gantinya.

  Jika Anda ingin melihat pengaturan dari setiap GPO, Anda dapat melihat mereka dari instans Windows yang tergabung domain misalnya dengan Konsol Manajemen kebijakan grup (GPMC)diaktifkan.

Izin untuk akun Administrator

Saat Anda membuat AWS direktori Directory Service untuk Microsoft Active Directory, AWS buat unit organisasi (OU) untuk menyimpan semua grup dan akun AWS terkait. Untuk informasi selengkapnya tentang OU ini, lihat Apa yang dibuat dengan Direktori Aktif Microsoft AD AWS Terkelola. Ini termasuk akun Admin. Akun Admin memiliki izin untuk melakukan aktivitas administratif umum berikut untuk OU Anda:

• Menambahkan, memperbarui, atau menghapus pengguna, grup, dan komputer. Untuk informasi selengkapnya, lihat Mengelola pengguna dan grup di Microsoft AD yang Dikelola AWS.

• Menambahkan sumber daya ke domain Anda seperti server file atau cetak, kemudian berikan izin untuk sumber daya tersebut ke pengguna dan grup di OU Anda.

• Buat OU dan kontainer tambahan.

• Otoritas delegasi dari OUs dan kontainer tambahan. Untuk informasi selengkapnya, lihat Mendelegasikan hak istimewa penggabungan direktori untuk Microsoft AD yang Dikelola AWS.

• Membuat dan menautkan kebijakan grup.

• Memulihkan objek yang dihapus dari Keranjang Sampah Directory Active.

• Jalankan Windows PowerShell modul Active Directory dan DNS di Active Directory Web Service.

• Buat dan konfigurasi Akun Layanan Terkelola grup. Untuk informasi selengkapnya, lihat Akun Layanan yang Dikelola Grup.

• Mengkonfigurasi delegasi terbatas Kerberos. Untuk informasi selengkapnya, lihat Delegasi terbatas Kerberos.

Akun Admin juga memiliki hak untuk melakukan aktivitas di seluruh domain berikut:

• Mengelola konfigurasi DNS (menambahkan, menghapus, atau memperbarui catatan, zona, dan penerus)

• Melihat log peristiwa DNS

• Melihat log peristiwa keamanan

Hanya tindakan yang tercantum di sini yang diizinkan untuk akun Admin. Akun Admin juga tidak memiliki izin untuk setiap tindakan terkait direktori di luar OU spesifik Anda, seperti pada OU induk.

penting

AWS Administrator Domain memiliki akses administratif penuh ke semua domain yang di-host. AWS Lihat perjanjian Anda AWS dan FAQ perlindungan AWS data untuk informasi selengkapnya tentang cara AWS menangani konten, termasuk informasi direktori, yang Anda simpan di AWS sistem.

catatan

Kami merekomendasikan agar Anda tidak menghapus atau mengubah nama akun ini. Jika Anda tidak lagi ingin menggunakan akun, kami sarankan Anda menetapkan kata sandi yang panjang (paling banyak 64 karakter acak) dan kemudian nonaktifkan akun.

Akun istimewa administrator korporasi dan domain

AWS secara otomatis memutar kata sandi Administrator bawaan ke kata sandi acak setiap 90 hari. Kapan saja kata sandi Administrator bawaan diminta untuk penggunaan manusia, AWS tiket dibuat dan dicatat dengan AWS Directory Service tim. Kredensial akun dienkripsi dan ditangani melalui saluran aman. Juga kredensi akun Administrator hanya dapat diminta oleh tim AWS Directory Service manajemen.

Untuk melakukan manajemen operasional direktori Anda, AWS memiliki kontrol eksklusif atas akun dengan hak istimewa Administrator Perusahaan dan Administrator Domain. Ini termasuk kontrol eksklusif akun administrator Direktori Aktif. AWS melindungi akun ini dengan mengotomatiskan manajemen kata sandi melalui penggunaan brankas kata sandi. Selama rotasi otomatis kata sandi administrator, AWS buat akun pengguna sementara dan berikan hak istimewa Administrator Domain. Akun sementara ini digunakan sebagai back-up jika terjadi kegagalan rotasi kata sandi pada akun administrator. Setelah AWS berhasil memutar kata sandi administrator, AWS menghapus akun administrator sementara.

Biasanya AWS mengoperasikan direktori sepenuhnya melalui otomatisasi. Jika proses otomatisasi tidak dapat menyelesaikan masalah operasional, AWS mungkin perlu meminta insinyur dukungan masuk ke pengontrol domain (DC) Anda untuk melakukan diagnosis. Dalam kasus yang jarang terjadi ini, AWS mengimplementasikan sistem permintaan/pemberitahuan untuk memberikan akses. Dalam proses ini, AWS otomatisasi membuat akun pengguna terbatas waktu di direktori Anda yang memiliki izin Administrator Domain. AWS mengaitkan akun pengguna dengan insinyur yang ditugaskan untuk bekerja di direktori Anda. AWS mencatat asosiasi ini dalam sistem log kami dan memberikan insinyur dengan kredensi untuk digunakan. Semua tindakan yang diambil oleh teknisi dicatat dalam log peristiwa Windows. Ketika waktu yang dialokasikan berlalu, otomatisasi menghapus akun pengguna.

Anda dapat memantau tindakan akun administratif dengan menggunakan fitur penerusan log direktori Anda. Fitur ini memungkinkan Anda untuk meneruskan peristiwa Keamanan AD ke CloudWatch sistem Anda di mana Anda dapat menerapkan solusi pemantauan. Untuk informasi selengkapnya, lihat Mengaktifkan penerusan log.

ID Peristiwa Keamanan 4624, 4672 dan 4648 semua dicatat ketika seseorang log ke DC secara interaktif. Anda dapat melihat setiap log peristiwa Keamanan Windows DC menggunakan Event Viewer Microsoft Management Console (MMC) dari komputer Windows yang digabungkan dengan domain. Anda juga dapat Mengaktifkan penerusan log mengirim semua log peristiwa Keamanan ke CloudWatch Log di akun Anda.

Anda mungkin sesekali melihat pengguna yang dibuat dan dihapus dalam OU AWS Cadangan. AWS bertanggung jawab atas pengelolaan dan keamanan semua objek di OU ini dan OU atau wadah lainnya di mana kami belum mendelegasikan izin bagi Anda untuk mengakses dan mengelola. Anda mungkin melihat pembuatan dan penghapusan di OU tersebut. Ini karena AWS Directory Service menggunakan otomatisasi untuk memutar kata sandi Administrator Domain secara teratur. Ketika kata sandi dirotasi, backup dibuat pada peristiwa rotasi yang gagal. Setelah rotasi berhasil, akun backup akan dihapus secara otomatis. Juga dalam hal langka bahwa akses interaktif diperlukan pada DC untuk tujuan pemecahan masalah, akun pengguna sementara dibuat untuk digunakan oleh seorang AWS Directory Service insinyur. Setelah teknisi menyelesaikan pekerjaan mereka, akun pengguna sementara akan dihapus. Perhatikan bahwa setiap kali kredensil interaktif diminta untuk direktori, tim AWS Directory Service manajemen akan diberi tahu.