Introdução ao AWS Managed Microsoft AD - AWS Directory Service
AWS Pré-requisitos gerenciados do Microsoft ADCrie seu Microsoft AD AWS gerenciado Active DirectoryO que é criado com seu Microsoft AD Active Directory AWS gerenciadoPermissões da conta de administrador

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Introdução ao AWS Managed Microsoft AD

AWS O Microsoft AD gerenciado cria um Microsoft Active Directory totalmente gerenciado na AWS nuvem, é desenvolvido pelo Windows Server 2019 e opera nos níveis funcionais de 2012 R2 Forest e Domain. Quando você cria um diretório com o AWS Managed Microsoft AD, AWS Directory Service cria dois controladores de domínio e adiciona o serviço DNS em seu nome. Os controladores de domínio são criados em diferentes sub-redes em uma Amazon VPC. Essa redundância ajuda a garantir que seu diretório permaneça acessível mesmo se ocorrer uma falha. Se precisar de mais controladores de domínio, você pode adicioná-los posteriormente. Para ter mais informações, consulte Implantar controladores de domínio adicionais.

AWS Pré-requisitos gerenciados do Microsoft AD

Para criar um Microsoft AD AWS gerenciadoActive Directory, você precisa de uma Amazon VPC com o seguinte:

  • Pelo menos duas sub-redes. Cada uma das sub-redes deve estar em uma zona de disponibilidade diferente.

  • A VPC deve ter uma locação de hardware padrão.

  • Você não pode criar um Microsoft AD AWS gerenciado em uma VPC usando endereços no espaço de endereço 198.18.0.0/15.

Se precisar integrar seu domínio AWS gerenciado do Microsoft AD a um Active Directory domínio local existente, você deverá ter os níveis funcionais de Floresta e Domínio para seu domínio local definidos como Windows Server 2003 ou superior.

AWS Directory Service usa uma estrutura de duas VPC. As instâncias do EC2 que compõem seu diretório são executadas fora da sua AWS conta e são gerenciadas pela AWS. Elas têm dois adaptadores de rede ETH0 e ETH1. ETH0 é o adaptador de gerenciamento e existe fora da sua conta. ETH1 é criado em sua conta.

O intervalo IP de gerenciamento da rede ETH0 do seu diretório é 198.18.0.0/15.

AWS IAM Identity Center pré-requisitos

Se você planeja usar o IAM Identity Center com o Microsoft AD AWS gerenciado, você precisa garantir que o seguinte seja verdadeiro:

  • Seu diretório AWS gerenciado do Microsoft AD está configurado na conta de gerenciamento da sua AWS organização.

  • Sua instância do IAM Identity Center está na mesma região em que seu diretório AWS gerenciado do Microsoft AD está configurado.

Para obter mais informações, consulte os pré-requisitos do IAM Identity Center no Guia do AWS IAM Identity Center usuário.

Pré-requisitos da autenticação multifator

Para oferecer suporte à autenticação multifator com seu diretório AWS Managed Microsoft AD, você deve configurar seu servidor RADIUS (Remote Authentication Dial-In User Service) local ou baseado na nuvem da seguinte maneira para que ele possa aceitar solicitações do seu diretório Managed Microsoft AD em. AWS AWS

  1. Em seu servidor RADIUS, crie dois clientes RADIUS para representar os dois controladores de domínio (DCs) gerenciados do AWS Microsoft AD em. AWS Você deve configurar os dois clientes usando os seguintes parâmetros comuns (o servidor RADIUS pode variar):

    • Endereço (DNS ou IP): é o endereço DNS de um dos AD DCs gerenciados da AWS Microsoft. Ambos os endereços DNS podem ser encontrados no AWS Directory Service Console na página Detalhes do diretório AWS Managed Microsoft AD no qual você planeja usar o MFA. Os endereços DNS exibidos representam os endereços IP de ambos os AD DCs AWS gerenciados da Microsoft que são usados pelo. AWS

      nota

      Se seu servidor RADIUS oferecer suporte a endereços de DNS, é necessário criar apenas uma configuração de cliente RADIUS. Caso contrário, você deverá criar uma configuração de cliente RADIUS para cada DC do AWS Managed Microsoft AD.

    • Número da porta: configure o número da porta na qual seu servidor do RADIUS aceita conexões de cliente do RADIUS. A porta padrão do RADIUS é 1812.

    • Segredo compartilhado: digite ou gere um segredo compartilhado que o servidor do RADIUS usará para conectar-se aos clientes do RADIUS.

    • Protocolo: Talvez seja necessário configurar o protocolo de autenticação entre os AD DCs AWS gerenciados da Microsoft e o servidor RADIUS. Os protocolos compatíveis são PAP, CHAP MS-CHAPv1 e MS-CHAPv2. O MS-CHAPv2 é recomendado porque fornece a segurança mais forte das três opções.

    • Nome do aplicativo: pode ser opcional em alguns servidores do RADIUS e normalmente identifica o aplicativo em mensagens ou relatórios.

  2. Configure sua rede existente para permitir o tráfego de entrada dos clientes RADIUS (endereços DNS gerenciados do AWS Microsoft AD DCs, consulte a Etapa 1) para a porta do servidor RADIUS.

  3. Adicione uma regra ao grupo de segurança do Amazon EC2 em seu domínio gerenciado AWS do Microsoft AD que permita tráfego de entrada do endereço DNS e do número da porta do servidor RADIUS definidos anteriormente. Para obter mais informações, consulte Adicionar regras a um grupo de segurança no Guia do usuário do EC2.

Para obter mais informações sobre como usar o Microsoft AD AWS gerenciado com MFA, consulte. Habilitar a autenticação multifator para o AWS Microsoft Managed AD

Crie seu Microsoft AD AWS gerenciado Active Directory

Para criar um novo diretório, execute as seguintes etapas. Antes de iniciar este procedimento, verifique se você concluiu os pré-requisitos identificados em AWS Pré-requisitos gerenciados do Microsoft AD.

Para criar um diretório AWS gerenciado do Microsoft AD

  1. No painel de navegação do console do AWS Directory Service, escolha Diretórios e escolha Configurar diretório.

  2. Na página Selecionar tipo do diretório, escolha AWS Managed Microsoft AD e, em seguida, Próximo.

  3. Na página Enter directory information (Inserir informações do diretório), forneça as seguintes informações:

    Edição

    Escolha entre a Standard Edition ou a Enterprise Edition do AWS Managed Microsoft AD. Para obter mais informações sobre edições, consulte AWS Directory Service for Microsoft Active Directory.

    Nome do Sistema de Nomes de Domínio (DNS) do Diretório

    O nome completo do diretório, como corp.example.com.

    nota

    Se você planeja usar o Amazon Route 53 para DNS, o nome de domínio do seu Microsoft AD AWS gerenciado deve ser diferente do seu nome de domínio do Route 53. Problemas de resolução de DNS podem ocorrer se o Route 53 e o AWS Managed Microsoft AD compartilharem o mesmo nome de domínio.

    Nome de NetBIOS do diretório

    O nome curto do diretório, como CORP.

    Descrição do diretório

    Uma descrição opcional do diretório.

    Senha do Admin

    A senha do administrador do diretório. O processo de criação do diretório cria uma conta de administrador com o nome de usuário Admin e essa senha.

    A senha não pode incluir a palavra "admin".

    A senha do administrador do diretório diferencia maiúsculas de minúsculas e deve ter de 8 a 64 caracteres, inclusive. Ela também precisa conter pelo menos um caractere de três das quatro categorias a seguir:

    • Letras minúsculas (a-z)

    • Letras maiúsculas (A-Z)

    • Números (0-9)

    • Caracteres não alfanuméricos (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirmar senha

    Digite a senha do administrador novamente.

  4. Na página Choose VPC and subnets (Selecionar VPC e sub-redes), forneça as seguintes informações e selecione Next (Próximo).

    VPC

    A VPC do diretório.

    Subredes

    Selecione as sub-redes para os controladores de domínio. As duas sub-redes deve estar em diferentes zonas de disponibilidade.

  5. Na página Review & create (Revisar e criar), analise as informações do diretório e faça as alterações necessárias. Quando as informações estiverem corretas, escolha Create directory (Criar diretório). A criação do diretório leva de 20 a 40 minutos. Depois de criado, o valor de Status é alterado para Ativo.

O que é criado com seu Microsoft AD Active Directory AWS gerenciado

Quando você cria um Active Directory com o Microsoft AD AWS gerenciado, AWS Directory Service executa as seguintes tarefas em seu nome:

  • Cria e associa automaticamente uma interface de rede elástica (ENI) a cada um dos controladores de domínio. Cada um desses ENIs é essencial para a conectividade entre sua VPC AWS Directory Service e os controladores de domínio e nunca deve ser excluído. Você pode identificar todas as interfaces de rede reservadas para uso com AWS Directory Service a descrição: "interface de rede AWS criada para id de diretório”. Para obter mais informações, consulte Elastic Network Interfaces no Guia do usuário do Amazon EC2 para instâncias do Windows. O servidor DNS padrão do Microsoft AD AWS gerenciado Active Directory é o servidor VPC DNS no Roteamento entre Domínios Sem Classe (CIDR) +2. Para obter mais informações, consulte o servidor Amazon DNS no Guia do usuário da Amazon VPC.

    nota

    Por padrão, os controladores de domínio são implantados em duas zonas de disponibilidade em uma região e conectados à sua Amazon VPC (VPC). Os backups são feitos automaticamente uma vez por dia, e os volumes do Amazon EBS (EBS) são criptografados para garantir que os dados estejam protegidos em repouso. Os controladores de domínio que falham são substituídos automaticamente na mesma zona de disponibilidade usando o mesmo endereço IP, e uma recuperação completa de desastres pode ser realizada usando-se o backup mais recente.

  • Provisiona o Active Directory na VPC usando dois controladores de domínio para tolerância a falhas e alta disponibilidade. Mais controladores de domínio podem ser provisionados para maior resiliência e desempenho depois que o diretório foi criado com êxito e está Ativo. Para ter mais informações, consulte Implantar controladores de domínio adicionais.

    nota

    AWS não permite a instalação de agentes de monitoramento em controladores de domínio AWS gerenciados do Microsoft AD.

  • Cria um grupo de segurança da AWS que estabeleça regras de rede para o tráfego de entrada e de saída dos controladores de domínio. A regra de saída padrão permite todas as ENIs de tráfego ou instâncias anexadas ao grupo de segurança criado AWS . As regras de entrada padrão permitem somente o tráfego por portas que são exigidas pelo Active Directory de qualquer origem (0.0.0.0/0). As regras 0.0.0.0/0 não introduzem vulnerabilidades de segurança, pois o tráfego para os controladores de domínio é limitado ao tráfego da sua VPC, de outras VPCs com peering ou de redes conectadas usando o Transit Gateway ou a Rede Privada Virtual. AWS Direct Connect AWS Para segurança adicional, as ENIs criadas não têm IPs elásticos anexados a elas e você não tem permissão para anexar um IP elástico a essas ENIs. Portanto, o único tráfego de entrada que pode se comunicar com seu Microsoft AD AWS gerenciado é o VPC local e o tráfego roteado de VPC. Tenha muito cuidado se tentar alterar essas regras, pois você pode prejudicar sua capacidade de se comunicar com os controladores de domínio. Para ter mais informações, consulte Melhores práticas para o Microsoft AD AWS gerenciado. As seguintes regras do Grupo de AWS Segurança são criadas por padrão:

    Regras de entrada

    Protocolo Intervalo de portas Origem Tipo de tráfego Uso do Active Directory
    ICMP N/D 0.0.0.0/0 Ping LDAP Keep Alive, DFS
    TCP e UDP 53 0.0.0.0/0 DNS Autenticação de usuário e computador, resolução de nome, confianças
    TCP e UDP 88 0.0.0.0/0 Kerberos Autenticação de usuário e computador, confianças do nível floresta
    TCP e UDP 389 0.0.0.0/0 LDAP Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
    TCP e UDP 445 0.0.0.0/0 SMB/CIFS Replicação, autenticação de usuário e computador, política de grupo, confianças
    TCP e UDP 464 0.0.0.0/0 Alterar/definir senha do Kerberos Replicação, autenticação de usuário e computador, confianças
    TCP 135 0.0.0.0/0 Replicação RPC, EPM
    TCP 636 0.0.0.0/0 LDAP SSL Diretório, replicação, autenticação de usuário e computador, política de grupo, confianças
    TCP 1024-65535 0.0.0.0/0 RPC Replicação, autenticação de usuário e computador, política de grupo, confianças
    TCP 3268 - 3269 0.0.0.0/0 LDAP GC e LDAP GC SSL Diretório, replicação, autenticação de usuário e computador, política de grupo, confianças
    UDP 123 0.0.0.0/0 Horário do Windows Horário do Windows, confianças
    UDP 138 0.0.0.0/0 DFSN e NetLogon DFS, política de grupo
    Todos Todos sg-################## Todo o tráfego

    Regras de saída

    Protocolo Intervalo de portas Destino Tipo de tráfego Uso do Active Directory
    Todos Todos sg-################## Todo o tráfego

  • Para obter mais informações sobre as portas e os protocolos usados pelo Active Directory, consulte Visão geral do serviço e requisitos de porta de rede para o Windows na documentação da Microsoft.

  • Cria uma conta de administrador do diretório com o nome de usuário Admin e a senha especificada. Essa conta está localizada sob a UO Users (por exemplo, Corp > Users). Você usa essa conta para gerenciar seu diretório na AWS nuvem. Para ter mais informações, consulte Permissões para a conta de administrador.

    Importante

    Certifique-se de salvar essa senha. AWS Directory Service não armazena essa senha e ela não pode ser recuperada. No entanto, você pode redefinir uma senha no AWS Directory Service console ou usando a ResetUserPasswordAPI.

  • Cria as seguintes três unidades organizacionais (UOs) na raiz do domínio:

    Nome da UO Descrição

    AWS Grupos delegados

    		Armazena todos os grupos que você pode usar para delegar permissões AWS específicas aos seus usuários.
    AWS Reservado Armazena todas as contas específicas de AWS gerenciamento.
    <yourdomainname> O nome dessa UO é baseado no nome NetBIOS digitado quando você criou seu diretório. Se você não especificar um nome NetBIOS, será usado como padrão a primeira parte do nome DNS do diretório (por exemplo, no caso de corp.example.com, o nome NetBIOS seria corp). Essa OU pertence AWS e contém todos os seus objetos de diretório AWS relacionados, sobre os quais você tem controle total. Duas UOs filhas existem sob essa UO por padrão; Computers (Computadores) e Users (Usuários). Por exemplo: .

    • Corp

      • Computadores

      • Usuários

  • Cria os seguintes grupos na OU de Grupos AWS Delegados:

    Group name Descrição
    AWS Operadores de contas delegadas Os membros desse grupo de segurança possuem capacidade limitada para gerenciamento de contas, como redefinições de senha

    AWS Administradores delegados de ativação baseados no Active Directory

    Os membros desse grupo de segurança podem criar objetos de ativação de licenciamento por volume do Active Directory, que permite que as empresas ativem os computadores por meio de uma conexão ao seu domínio.
    AWS Adicionar estações de trabalho delegadas aos usuários do domínio Os membros desse grupo de segurança podem adicionar 10 computadores a um domínio
    AWS Administradores delegados Os membros desse grupo de segurança podem gerenciar o Microsoft AD AWS gerenciado, ter controle total de todos os objetos em sua OU e gerenciar grupos contidos na OU de grupos AWS delegados.
    AWS Delegado com permissão para autenticar objetos Os membros desse grupo de segurança têm a capacidade de se autenticar nos recursos do computador na OU AWS Reservada (necessária somente para objetos locais com Trusts habilitados para Autenticação Seletiva).
    AWS Delegado com permissão para autenticação em controladores de domínio Os membros desse grupo de segurança recebem a capacidade de autenticar recursos do computador na UO de controladores de domínio (necessária apenas para objetos on-premises com confianças habilitadas para autenticação seletiva).

    AWS Administradores delegados de vida útil de objetos excluídos

    Os membros desse grupo de segurança podem modificar o DeletedObjectLifetime objeto MSDs-, que define por quanto tempo um objeto excluído estará disponível para ser recuperado da Lixeira do AD.
    AWS Administradores delegados de sistemas de arquivos distribuídos Os membros desse grupo de segurança podem adicionar e remover espaços de nome FRS, DFS-R e DFS.
    AWS Administradores de sistemas de nomes de domínio delegados Os membros desse grupo de segurança podem gerenciar DNS integrado ao Active Directory.
    AWS Administradores delegados do Dynamic Host Configuration Protocol Os membros desse grupo de segurança podem autorizar servidores DHCP do Windows na empresa.
    AWS Administradores delegados da Autoridade de Certificação Empresarial Os membros desse grupo de segurança podem implantar e gerenciar a infraestrutura da Autoridade de Certificação Empresarial da Microsoft.
    AWS Administradores delegados de políticas de senhas refinadas Os membros desse grupo de segurança podem modificar políticas de senhas minuciosas pré-criadas.
    AWS Administradores de FSx delegados Os membros deste grupo de segurança têm a capacidade de gerenciar recursos do Amazon FSx.
    AWS Administradores delegados de políticas de grupo Os membros desse grupo de segurança podem realizar tarefas de gerenciamento de políticas de grupo (criar, editar, excluir, vincular).
    AWS Administradores de delegação delegados do Kerberos Os membros desse grupo de segurança podem permitir a delegação nos objetos de conta de usuário e computador.
    AWS Administradores delegados de contas de serviços gerenciados Os membros desse grupo de segurança podem criar e excluir contas de serviço gerenciado.
    AWS Dispositivos delegados não compatíveis com MS-NPRC Os membros desse grupo de segurança serão excluídos da exigência de comunicação por canais seguros com controladores de domínio. Esse grupo destina-se a contas de computador.
    AWS Administradores do serviço de acesso remoto delegado Os membros desse grupo de segurança podem adicionar e remover servidores RAS do grupo de servidores RAS e IAS.
    AWS Administradores de alterações do diretório de replicação delegado Os membros desse grupo de segurança podem sincronizar as informações do perfil no Active Directory com o SharePoint Server.
    AWS Administradores de servidor delegados Os membros desse grupo de segurança estão inclusos no grupo de administradores local em todos os computadores associados ao domínio.
    AWS Administradores de sites e serviços delegados Os membros desse grupo de segurança podem renomear o objeto Default-First-Site-Name em sites e serviços do Active Directory.
    AWS Administradores delegados de gerenciamento de sistemas Os membros desse grupo de segurança podem criar e gerenciar objetos no contêiner do System Management.
    AWS Administradores delegados de licenciamento do Terminal Server Os membros desse grupo de segurança podem adicionar e remover servidores de licença do servidor terminal do grupo de servidores de licença do servidor terminal.
    AWS Administradores de sufixo de nome principal de usuário delegado Os membros desse grupo de segurança podem adicionar e remover sufixos do nome da entidade principal do usuário.

  • Cria e aplica os seguintes objetos de política de grupo (GPOs):

    nota

    Você não tem permissões para excluir, modificar ou desvincular estes GPOs. Isso ocorre intencionalmente, pois eles são reservados para AWS uso. Você pode vinculá-los às UOs que você controla, se necessário.

    Nome da política de grupo Aplica-se a Descrição
    Política de domínio padrão Domínio Inclui senha de domínio e políticas do Kerberos.
    ServerAdmins Todas as contas de computador que não são de controlador de domínio Adiciona os 'Administradores de Servidores AWS Delegados' como membros do Grupo BUILTIN\ Administrators.
    AWS Política reservada: Usuário AWS Contas de usuário reservadas Define as configurações de segurança recomendadas em todas as contas de usuário na OU AWS reservada.
    AWS Política gerenciada do Active Directory Todos os controladores de domínio Define as configurações de segurança recomendadas em todos os controladores de domínio.
    TimePolicyNT5DS Todos os controladores de domínio não PDCe Define todas as políticas de horário de controladores de domínio não PDCe para usar o Horário do Windows (NT5DS).
    TimePolicyPDC O controlador de domínio de PDCe Define a política de horário do controlador de domínio de PDCe para usar o Network Time Protocol (NTP).
    Política de controladores de domínio padrão Não usado Provisionada durante a criação do domínio, a Política AWS Gerenciada do Active Directory é usada em seu lugar.

    Se quiser ver as configurações de cada GPO, você poderá visualizá-las em uma instância do Windows associada ao domínio com o Console de gerenciamento de política de grupo (GPMC) habilitado.

Permissões para a conta de administrador

Quando você cria um AWS diretório do Directory Service para o Microsoft Active Directory, AWS cria uma unidade organizacional (OU) para armazenar todos os grupos e contas AWS relacionados. Para obter mais informações sobre essa UO, consulte O que é criado com seu Microsoft AD Active Directory AWS gerenciado. Isso inclui a conta de administrador. A conta de administrador tem permissões para executar as seguintes atividades administrativas comuns para sua UO:

A conta de administrador também possui direitos para executar as seguintes atividades de domínio:

  • Gerenciar configurações de DNS (adicionar, remover ou atualizar registros, zonas e encaminhadores)

  • Visualizar logs de eventos de DNS

  • Visualizar logs de eventos de segurança

Somente as ações listadas aqui são permitidas na conta de administrador. A conta de administrador também não tem permissões para quaisquer ações relacionadas a diretórios fora da sua UO específica, como a UO pai.

Importante

AWS Os administradores de domínio têm acesso administrativo total a todos os domínios hospedados em. AWS Consulte seu contrato AWS e as perguntas frequentes sobre proteção de AWS dados para obter mais informações sobre como AWS lida com o conteúdo, incluindo informações de diretório, que você armazena nos AWS sistemas.

nota

Recomendamos que você não exclua nem renomeie essa conta. Se não desejar mais usar a conta, recomendamos definir uma senha longa (no máximo 64 caracteres aleatórios) e desabilitá-la.

Contas privilegiadas de administrador de empresa e de administrador de domínio

AWS alterna automaticamente a senha de administrador incorporada para uma senha aleatória a cada 90 dias. Sempre que a senha incorporada do administrador é solicitada para uso humano, um AWS ticket é criado e registrado com a AWS Directory Service equipe. As credenciais da conta são criptografadas e gerenciadas por canais seguros. Além disso, as credenciais da conta de administrador só podem ser solicitadas pela equipe AWS Directory Service de gerenciamento.

Para realizar o gerenciamento operacional do seu diretório, AWS tem controle exclusivo de contas com privilégios de administrador corporativo e administrador de domínio. Isso inclui controle exclusivo da conta de administrador do Active Directory. AWS protege essa conta automatizando o gerenciamento de senhas por meio do uso de um cofre de senhas. Durante a rotação automática da senha do administrador, AWS cria uma conta de usuário temporária e concede a ela privilégios de administrador de domínio. Esta conta temporária é usado como um backup em caso de falha na rotação de senhas na conta do administrador. Depois de alternar AWS com sucesso a senha do administrador, AWS exclui a conta temporária do administrador.

Normalmente AWS opera o diretório inteiramente por meio da automação. Caso um processo de automação não consiga resolver um problema operacional, AWS talvez seja necessário que um engenheiro de suporte faça login no seu controlador de domínio (DC) para realizar o diagnóstico. Nesses casos raros, AWS implementa um sistema de solicitação/notificação para conceder acesso. Nesse processo, a AWS automação cria uma conta de usuário com limite de tempo em seu diretório que tem permissões de administrador de domínio. AWS associa a conta do usuário ao engenheiro designado para trabalhar em seu diretório. AWS registra essa associação em nosso sistema de log e fornece ao engenheiro as credenciais a serem usadas. Todas as ações executadas pelo engenheiro serão registradas nos logs de eventos do Windows. Quando o tempo de alocado expirar, a automação excluirá a conta de usuário.

Você pode monitorar as ações de contas administrativas usando o recurso de encaminhamento de log do seu diretório. Esse recurso permite que você encaminhe os eventos de segurança do AD para o seu CloudWatch sistema, onde você pode implementar soluções de monitoramento. Para ter mais informações, consulte Habilitar o encaminhamento de logs.

Os IDs de eventos de segurança 4624, 4672 e 4648 são todos registrados quando alguém faz login em um DC de forma interativa. É possível visualizar o log de eventos de segurança do Windows para cada DC usando o Visualizador de Eventos do Microsoft Management Console (MMC) em um computador Windows associado ao domínio. Você também pode Habilitar o encaminhamento de logs enviar todos os registros de eventos de segurança para o CloudWatch Logs da sua conta.

Ocasionalmente, você pode ver usuários criados e excluídos na OU AWS reservada. AWS é responsável pelo gerenciamento e pela segurança de todos os objetos nesta OU e em qualquer outra OU ou contêiner em que não tenhamos delegado permissões para você acessar e gerenciar. É possível ver criações e exclusões nessa UO. Isso ocorre porque AWS Directory Service usa automação para alternar a senha do administrador do domínio regularmente. Quando a senha é alternada, um backup é criado para o caso da operação falhar. Quando a alternância for bem-sucedida, a conta de backup será excluída automaticamente. Além disso, no caso raro de ser necessário acesso interativo nos DCs para fins de solução de problemas, uma conta de usuário temporária é criada para ser usada por um AWS Directory Service engenheiro. Após o engenheiro concluir seu trabalho, a conta de usuário temporária será excluída. Observe que toda vez que as credenciais interativas são solicitadas para um diretório, a equipe AWS Directory Service de gerenciamento é notificada.