As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Permissões gerenciadas da conta de administrador do Microsoft AD
Quando você cria um AWS diretório do Directory Service para o Microsoft Active Directory, AWS cria uma unidade organizacional (OU) para armazenar todos os grupos e contas AWS relacionados. Para obter mais informações sobre essa UO, consulte O que é criado com seu Microsoft AD AWS gerenciado. Isso inclui a conta de administrador. A conta de administrador tem permissões para executar as seguintes atividades administrativas comuns para sua UO:
-
Adicionar, atualizar ou excluir usuários, grupos e computadores. Para obter mais informações, consulte Gerenciamento de usuários e grupos no AWS Managed Microsoft AD.
-
Adicione recursos ao seu domínio, como servidores de arquivos ou de impressão e atribua permissões para esses recursos a usuários e grupos em sua UO.
-
Crie OUs contêineres adicionais.
-
Delegue autoridade sobre contêineres OUs e adicionais. Para obter mais informações, consulte Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD.
-
Criar e vincular políticas de grupo.
-
Restaurar objetos excluídos da Lixeira do Active Directory.
-
Execute o Active Directory e DNS Windows PowerShell módulos no Serviço Web do Active Directory.
-
Criar e configurar contas de serviço gerenciadas pelo grupo. Para obter mais informações, consulte Contas de serviço gerenciadas pelo grupo.
-
Configurar a delegação restrita de Kerberos. Para obter mais informações, consulte Delegação restrita de Kerberos.
A conta de administrador também possui direitos para executar as seguintes atividades de domínio:
-
Gerencie DNS configurações (adicione, remova ou atualize registros, zonas e encaminhadores)
-
Exibir registros de DNS eventos
-
Visualizar logs de eventos de segurança
Somente as ações listadas aqui são permitidas na conta de administrador. A conta de administrador também não tem permissões para quaisquer ações relacionadas a diretórios fora da sua UO específica, como a UO pai.
Importante
AWS Os administradores de domínio têm acesso administrativo total a todos os domínios hospedados em. AWS Consulte seu contrato AWS e a proteção de AWS dados FAQ
nota
Recomendamos que você não exclua nem renomeie essa conta. Se não desejar mais usar a conta, recomendamos definir uma senha longa (no máximo 64 caracteres aleatórios) e desabilitá-la.
Contas privilegiadas de administrador de empresa e de administrador de domínio
AWS alterna automaticamente a senha de administrador incorporada para uma senha aleatória a cada 90 dias. Sempre que a senha incorporada do administrador é solicitada para uso humano, um AWS ticket é criado e registrado com a AWS Directory Service equipe. As credenciais da conta são criptografadas e gerenciadas por canais seguros. Além disso, as credenciais da conta de administrador só podem ser solicitadas pela equipe AWS Directory Service de gerenciamento.
Para realizar o gerenciamento operacional do seu diretório, AWS tem controle exclusivo de contas com privilégios de administrador corporativo e administrador de domínio. Isso inclui controle exclusivo da conta de administrador do Active Directory. AWS protege essa conta automatizando o gerenciamento de senhas por meio do uso de um cofre de senhas. Durante a rotação automática da senha do administrador, AWS cria uma conta de usuário temporária e concede a ela privilégios de administrador de domínio. Esta conta temporária é usado como um backup em caso de falha na rotação de senhas na conta do administrador. Depois de alternar AWS com sucesso a senha do administrador, AWS exclui a conta temporária do administrador.
Normalmente AWS opera o diretório inteiramente por meio da automação. Caso um processo de automação não consiga resolver um problema operacional, AWS talvez seja necessário que um engenheiro de suporte faça login no seu controlador de domínio (DC) para realizar o diagnóstico. Nesses casos raros, AWS implementa um sistema de solicitação/notificação para conceder acesso. Nesse processo, a AWS automação cria uma conta de usuário com limite de tempo em seu diretório que tem permissões de administrador de domínio. AWS associa a conta do usuário ao engenheiro designado para trabalhar em seu diretório. AWS registra essa associação em nosso sistema de log e fornece ao engenheiro as credenciais a serem usadas. Todas as ações executadas pelo engenheiro serão registradas nos logs de eventos do Windows. Quando o tempo de alocado expirar, a automação excluirá a conta de usuário.
Você pode monitorar as ações de contas administrativas usando o recurso de encaminhamento de log do seu diretório. Esse recurso permite que você encaminhe os eventos de segurança do AD para o seu CloudWatch sistema, onde você pode implementar soluções de monitoramento. Para obter mais informações, consulte Habilitando o encaminhamento de CloudWatch registros do Amazon Logs para o AWS Managed Microsoft AD.
Os eventos de segurança IDs 4624, 4672 e 4648 são todos registrados quando alguém faz login em um DC de forma interativa. Você pode visualizar o log de eventos do Windows Security de cada DC usando o Visualizador de Eventos Microsoft Management Console (MMC) de um computador Windows associado ao domínio. Você também pode Habilitando o encaminhamento de CloudWatch registros do Amazon Logs para o AWS Managed Microsoft AD enviar todos os registros de eventos de segurança para o CloudWatch Logs da sua conta.
Ocasionalmente, você pode ver usuários criados e excluídos na OU AWS reservada. AWS é responsável pelo gerenciamento e pela segurança de todos os objetos nesta OU e em qualquer outra OU ou contêiner em que não tenhamos delegado permissões para você acessar e gerenciar. É possível ver criações e exclusões nessa UO. Isso ocorre porque AWS Directory Service usa automação para alternar a senha do administrador do domínio regularmente. Quando a senha é alternada, um backup é criado para o caso da operação falhar. Quando a alternância for bem-sucedida, a conta de backup será excluída automaticamente. Além disso, no caso raro de ser necessário acesso interativo no DCs para fins de solução de problemas, uma conta de usuário temporária é criada para uso por um AWS Directory Service engenheiro. Após o engenheiro concluir seu trabalho, a conta de usuário temporária será excluída. Observe que toda vez que as credenciais interativas são solicitadas para um diretório, a equipe AWS Directory Service de gerenciamento é notificada.