作成されるファイル - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

作成されるファイル

ディレクトリを作成するときAWSManaged Microsoft ADAWS Directory Serviceが、あなたの代わりに次のタスクを実行します。

  • elastic network interface (ENI) を自動的に作成し、各ドメインコントローラーと関連付けます。これらの ENI はそれぞれ VPC と AWS Directory Service ドメインコントローラー間の接続に不可欠なため、削除しないでください。使用するために予約されているすべてのネットワークインターフェースは、AWS Directory Service説明で:」AWS ディレクトリ用に作成されたネットワークインタフェースディレクトリ ID「。詳細については、「」を参照してください。Elastic Network InterfaceWindows インスタンス用 Amazon EC2 ユーザーガイドを参照してください。

    注記

    ドメインコントローラーは、デフォルトでリージョンの 2 つのアベイラビリティーゾーンにデプロイされ、Amazon Virtual Private Cloud (VPC) に接続されています。バックアップは 1 日に 1 回自動的に実行され、Amazon Elastic Block Store (EBS) ボリュームは暗号化され、保存時のデータが確実に保護されます。障害が発生したドメインコントローラは、同じ IP アドレスを使用して同じアベイラビリティーゾーン内で自動的に置き換えられ、最新のバックアップを使用して完全なディザスタリカバリを実行できます。

  • 耐障害性と高可用性のために、2 つのドメインコントローラーを使用して VPC 内で Active Directory をプロビジョニングします。ディレクトリが正常に作成されてアクティブになった後で、回復性とパフォーマンスを高めるために追加のドメインコントローラーをプロビジョニングできます。詳細については、「追加ドメインコントローラーのデプロイ」を参照してください。

    注記

    AWSは、監視エージェントのインストールを許可しませんAWSManaged Microsoft AD ドメインコントローラー

  • 作成するAWSセキュリティグループドメインコントローラーに出入りするトラフィックのネットワークルールを確立する。デフォルトのアウトバウンドルールは、作成された AWS セキュリティグループにアタッチされたすべてのトラフィック ENI またはインスタンスを許可します。デフォルトのインバウンドルールは、任意のソース (0.0.0.0/0) からの Active Directory の必須ポートを経由したトラフィックのみを許可します。0.0.0.0/0 ルールでは、セキュリティ上の脆弱性は生じません。ドメインコントローラーへのトラフィックは、VPC からのトラフィック、他のピア接続された VPC からのトラフィック、または AWS Direct Connect、AWS トランジットゲートウェイ、仮想プライベートネットワークを使用して接続したネットワークからのトラフィックに限定されるためです。セキュリティを強化するため、作成された ENI には Elastic IP がアタッチされず、これらの ENI に Elastic IP をアタッチするためのアクセス許可はユーザーに付与されません。したがって、通信できるインバウンドトラフィックは、AWSManaged Microsoft AD は、ローカル VPC および VPC からルーティングされたトラフィックです。これらのルールを変更すると、ドメインコントローラーと通信できなくなる可能性があるため、変更する場合は細心の注意を払ってください。次の AWS セキュリティグループルールがデフォルトで作成されます。

    インバウンドルール

    プロトコル ポート範囲 送信元 トラフィックの種類 Active Directory の使用
    ICMP 該当なし 0.0.0.0/0 Ping なし
    TCP と UDP 53 0.0.0.0/0 DNS ユーザーとコンピュータの認証、名前解決、信頼
    TCP と UDP 88 0.0.0.0/0 Kerberos ユーザーとコンピュータの認証、フォレストレベルの信頼
    TCP と UDP 389 0.0.0.0/0 LDAP ディレクトリ、レプリケーション、ユーザーとコンピューターの認証、グループポリシー、信頼
    TCP と UDP 445 0.0.0.0/0 SMB/CIFS レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    TCP と UDP 464 0.0.0.0/0 Kerberos パスワードの変更/設定 レプリケーション、ユーザーとコンピュータの認証、信頼
    TCP 135 0.0.0.0/0 レプリケーション RPC、EPM
    TCP 636 0.0.0.0/0 LDAP SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    TCP 1024-65535 0.0.0.0/0 RPC レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    TCP 3268 - 3269 0.0.0.0/0 LDAP GC および LDAP GC SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    UDP 123 0.0.0.0/0 Windows タイム Windows タイム、信頼
    UDP 138 0.0.0.0/0 DFSN と NetLogon DFS、グループポリシー
    すべて すべて sg-################## すべてのトラフィック

    アウトバウンドルール

    プロトコル ポート範囲 送信先 トラフィックの種類 Active Directory の使用
    すべて すべて sg-################## すべてのトラフィック
  • 「Admin」のユーザー名と指定されたパスワードを使用して、ディレクトリ管理者アカウントを作成します。このアカウントは、ユーザー OU (たとえば、Corp > Users) の下にあります。このアカウントを使用して AWS クラウドのディレクトリを管理します。詳細については、「管理者アカウント」を参照してください。

    重要

    このパスワードは必ず保管してください。AWS Directory Service にはこのパスワードは保存されず、取得できません。ただし、AWS Directory Service コンソールから、または ResetUserPassword API を使用して、パスワードをリセットできます。

  • ドメインのルートに次の 3 つの組織単位 (OU) を作成します。

    OU 名 説明

    AWS 委任グループ

    ユーザーに AWS の特定のアクセス権限を委任するために使用できるすべてのグループを保存します。
    AWS リザーブド AWS のすべての管理専用アカウントを保存します。
    <yourdomainname> この OU の名前は、ディレクトリの作成時に入力した NetBIOS 名に基づきます。NetBIOS 名を指定しなかった場合、デフォルトでは、Directory DNS 名の最初の部分が使用されます (たとえば、corp.example.com の場合、NetBIOS 名は corp となります)。この OU は AWS が所有し、ユーザーに完全制御の権限が付与されているすべての AWS 関連ディレクトリオブジェクトが含まれます。デフォルトでは、この OU の下に 2 つの子 OU ([Computers] および [Users]) が存在します。以下に例を示します。
    • Corp

      • Computers

      • ユーザー

  • AWS の委任グループ OU に次のグループを作成します。

    グループ名 説明
    AWS が委任したアカウントのオペレータ このセキュリティグループのメンバーには、パスワードのリセット (パスワードのリセット) など限定されたアカウント管理機能があります

    AWS Active Directory ベースのアクティベーションの委任管理者

    このセキュリティグループのメンバーは、Active Directory ボリュームライセンスアクティベーションオブジェクトを作成できます。これにより、企業はドメインへの接続を介してコンピュータをアクティベートできます。

    AWS が委任したドメインユーザーへのワークステーションの追加 このセキュリティグループのメンバーは、10 台のコンピュータをドメインに参加させることができます
    AWS 委任管理者 このセキュリティグループのメンバーは、AWS Managed Microsoft AD の管理、OU 内のすべてのオブジェクトの完全なコントロール、および AWS 委任グループ OU 内のグループの管理を行うことができます
    AWS からオブジェクトの認証を許可された受任者 このセキュリティグループのメンバーは、AWS リザーブド OU 内のコンピュータリソースに対する認証を許可されます (信頼に選択的な認証を適用できるオンプレミスオブジェクトにのみ必要)。
    AWS からドメインコントローラーへの認証を許可された受任者 このセキュリティグループのメンバーは、ドメインコントローラー OU 内のコンピュータリソースに対する認証を許可されます (信頼に選択的な認証を適用できるオンプレミスオブジェクトにのみ必要)。

    AWS 削除済みオブジェクトの有効期間の委任管理者

    このセキュリティグループのメンバーは、削除されたオブジェクトを AD ごみ箱から復旧できる期間を定義する msDS-DeletedObjectLifetime オブジェクトを変更できます。

    AWS が委任した分散ファイルシステム管理者 このセキュリティグループのメンバーは、FRS、DFS-R、DFS の名前空間を追加および削除できます
    AWS が委任したドメインネームシステム管理者 このセキュリティグループのメンバーは、Active Directory に統合された DNS を管理できます
    AWS が委任した動的ホスト設定プロトコル管理者 このセキュリティグループのメンバーは、エンタープライズ内の Windows DHCP サーバーを承認できます
    AWS が委任した Enterprise Certificate Authority 管理者 このセキュリティグループのメンバーは、Microsoft Enterprise Certificate Authority インフラストラクチャをデプロイおよび管理できます
    AWS が委任したきめ細かいパスワードポリシーの管理者 このセキュリティグループのメンバーは、作成済みの詳細なパスワードポリシーを変更できます
    AWS が委任した FSx の管理者 このセキュリティグループのメンバーは、Amazon FSX リソースを管理できます。
    AWS が委任したグループポリシー管理者 このセキュリティグループのメンバーは、グループポリシー管理タスク (作成、編集、削除、リンク) を実行できます
    AWS が委任した Kerberos 委任管理者 このセキュリティグループのメンバーは、コンピュータおよびユーザーアカウントオブジェクトに対する委任を有効にすることができます
    AWS が委任したマネージド型サービスアカウントの管理者 このセキュリティグループのメンバーは、マネージドサービスアカウントを作成および削除できます。
    AWS委任された MS-NPRC 非準拠デバイス このセキュリティグループのメンバーには、ドメインコントローラとのセキュリティで保護されたチャネル通信を要求する除外が提供されます。このグループはコンピュータアカウント用です。
    AWS が委任したリモートアクセスサービスアカウントの管理者 このセキュリティグループのメンバーは、RAS および IAS サーバーグループの RAS サーバーを追加および削除できます。
    AWS が委任したレプリケートディレクトリ変更の管理者 このセキュリティグループのメンバーは、Active Directory のプロファイル情報を SharePoint Server と同期できます
    AWS 委任サーバー管理者 このセキュリティグループのメンバーは、すべてのドメイン参加済みコンピュータのローカル管理者グループに含まれます
    AWS が委任したサイトとサービスの管理者 このセキュリティグループのメンバーは、Active Directory サイトとサービスで Default-First-Site-Name オブジェクトの名前を変更できます
    AWS が委任したシステム管理者 このセキュリティグループのメンバーは、システム管理コンテナ内のオブジェクトを作成および管理できます。
    AWS が委任したターミナルサーバーライセンス管理者 このセキュリティグループのメンバーは、ターミナルサーバーライセンスサーバーグループに属するターミナルサーバーライセンスサーバーを追加および削除できます
    AWS が委任したユーザープリンシパル名のサフィックスの管理者 このセキュリティグループのメンバーは、ユーザープリンシパル名のサフィックスを追加および削除できます
  • 次のグループポリシーオブジェクト (GPO) を作成して適用します。

    注記

    これらの GPO を削除、変更、またはリンク解除するアクセス許可がありません。彼らはのために予約されているので、これは設計によるものですAWSを使用する。必要に応じて、それらを制御する OU にリンクできます。

    グループポリシー名 Applies to 説明
    デフォルトのドメインポリシー 分野 ドメインパスワードと Kerberos ポリシーが含まれます。
    ServerAdmins ドメインコントローラー以外のすべてのコンピュータアカウント 「AWS 委任サーバー管理者」を BUILTIN\管理者グループのメンバーとして追加します。
    AWS リザーブドポリシー: ユーザー AWS リザーブドユーザーアカウント AWS リザーブド OU のすべてのユーザーアカウントに対して推奨されるセキュリティ設定を設定します。
    AWS マネージド Active Directory ポリシー すべてのドメインコントローラー すべてのドメインコントローラーに対して推奨されるセキュリティ設定を設定します。
    TimePolicyNT5DS PDCe 以外のすべてのドメインコントローラー Windows タイム (NT5DS) を使用するように、PDCe 以外のすべてのドメインコントローラーのタイムポリシーを設定します。
    TimePolicyPDC PDCe ドメインコントローラー ネットワークタイムプロトコル (NTP) を使用するように PDCe ドメインコントローラーのタイムポリシーを設定します。
    ドメインコントローラーのデフォルトポリシー 使用されていない ドメインの作成時にプロビジョニングされます。このデフォルトに代えて AWS マネージド Active Directory ポリシーを使用します。

    各 GPO の設定を確認する場合は、ドメイン参加済み Windows インスタンスから、グループポリシー管理コンソール (GPMC)有効.