O que é criado com o AWS Managed Microsoft AD
Quando um Active Directory é criado com o AWS Managed Microsoft AD, o AWS Directory Service executa as seguintes tarefas em seu nome:
-
Cria e associa automaticamente uma interface de rede elástica (ENI) a cada um dos controladores de domínio. Cada uma dessas ENIs é essencial para a conectividade entre a VPC e os controladores de domínio do AWS Directory Service e elas nunca devem ser excluídas. É possível identificar todas as interfaces de rede reservadas para uso com o AWS Directory Service pela descrição: "Interface de rede criada pela AWS para o diretório directory-id". Para obter mais informações, consulte Elastic Network Interfaces no Guia do usuário do Amazon EC2. O servidor DNS padrão do AWS Managed Microsoft AD Active Directory é o servidor DNS da VPC no Encaminhamento Entre Domínios Sem Classificação (CIDR)+2. Para obter mais informações, consulte Amazon DNS server no Guia do usuário da Amazon VPC.
nota
Por padrão, os controladores de domínio são implantados em duas zonas de disponibilidade em uma região e conectados à Amazon VPC (VPC). Os backups são realizados automaticamente uma vez por dia, e os volumes do Amazon EBS (EBS) são criptografados para garantir que os dados estejam seguros em repouso. Os controladores de domínio que falham são substituídos automaticamente na mesma zona de disponibilidade usando o mesmo endereço IP, e uma recuperação completa de desastres pode ser realizada usando-se o backup mais recente.
-
Provisiona o Active Directory dentro da sua VPC usando dois controladores de domínio para tolerância a falhas e alta disponibilidade.. Mais controladores de domínio podem ser provisionados para maior resiliência e desempenho depois que o diretório foi criado com êxito e está Ativo. Para ter mais informações, consulte Implantação de controladores de domínio adicionais do AWS Managed Microsoft AD.
nota
A AWS não permite a instalação de agentes de monitoramento em controladores de domínio do AWS Managed Microsoft AD.
-
Cria um grupo de segurança da AWS que estabeleça regras de rede para o tráfego de entrada e de saída dos controladores de domínio. A regra de saída padrão permite todas as instâncias ou ENIs de tráfego anexadas ao grupo de segurança da AWS criado. As regras de entrada padrão permitem somente o tráfego por meio de portas exigidas pelo Active Directory originárias do CIDR da VPC para o AWS Managed Microsoft AD. Essas regras não introduzem vulnerabilidades de segurança, pois o tráfego para os controladores de domínio é limitado ao tráfego da sua VPC, de outras VPCs emparelhadas ou de redes que você tenha conectado usando o AWS Direct Connect, o AWS Transit Gateway ou a rede privada virtual. Para segurança adicional, as ENIs criadas não têm IPs elásticos anexados a elas e você não tem permissão para anexar um IP elástico a essas ENIs. Portanto, o único tráfego de entrada que pode se comunicar com o AWS Managed Microsoft AD é a VPC local e o tráfego roteado da VPC. Você pode alterar as regras do grupo de segurança da AWS. Tenha muito cuidado se tentar alterar essas regras, pois você pode prejudicar sua capacidade de se comunicar com os controladores de domínio. Para ter mais informações, consulte Práticas recomendadas do AWS Managed Microsoft AD. As seguintes regras de grupo de segurança da AWS são criadas por padrão:
Regras de entrada
Protocolo Intervalo de portas Origem Tipo de tráfego Uso do Active Directory ICMP N/D CIDR IPv4 da VPC do AWS Managed Microsoft AD Ping LDAP Keep Alive, DFS TCP e UDP 53 CIDR IPv4 da VPC do AWS Managed Microsoft AD DNS Autenticação de usuário e computador, resolução de nome, confianças TCP e UDP 88 CIDR IPv4 da VPC do AWS Managed Microsoft AD Kerberos Autenticação de usuário e computador, confianças do nível floresta TCP e UDP 389 CIDR IPv4 da VPC do AWS Managed Microsoft AD LDAP Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças TCP e UDP 445 CIDR IPv4 da VPC do AWS Managed Microsoft AD SMB/CIFS Replicação, autenticação de usuário e computador, política de grupo, confianças TCP e UDP 464 CIDR IPv4 da VPC do AWS Managed Microsoft AD Alterar/definir senha do Kerberos Replicação, autenticação de usuário e computador, confianças TCP 135 CIDR IPv4 da VPC do AWS Managed Microsoft AD Replicação RPC, EPM TCP 636 CIDR IPv4 da VPC do AWS Managed Microsoft AD LDAP SSL Diretório, replicação, autenticação de usuário e computador, política de grupo, confianças TCP 1024-65535 CIDR IPv4 da VPC do AWS Managed Microsoft AD RPC Replicação, autenticação de usuário e computador, política de grupo, confianças TCP 3268 - 3269 CIDR IPv4 da VPC do AWS Managed Microsoft AD LDAP GC e LDAP GC SSL Diretório, replicação, autenticação de usuário e computador, política de grupo, confianças UDP 123 CIDR IPv4 da VPC do AWS Managed Microsoft AD Horário do Windows Horário do Windows, confianças UDP 138 CIDR IPv4 da VPC do AWS Managed Microsoft AD DFSN e NetLogon DFS, política de grupo Todos Todos CIDR IPv4 da VPC do AWS Managed Microsoft AD Todo o tráfego Regras de saída
Protocolo Intervalo de portas Destination (Destino) Tipo de tráfego Uso do Active Directory Todos Tudo 0.0.0.0/0 Todo o tráfego -
Para obter mais informações sobre as portas e protocolos usados pelo Active Directory, consulte Service overview and network port requirements for Windows
na documentação da Microsoft. -
Cria uma conta de administrador do diretório com o nome de usuário Admin e a senha especificada. Essa conta está localizada sob a UO Users (por exemplo, Corp > Users). Use essa conta para gerenciar seu diretório na Nuvem AWS. Para ter mais informações, consulte Permissões da conta de administrador do AWS Managed Microsoft AD.
Importante
Certifique-se de salvar essa senha. O AWS Directory Service não armazena essa senha e não é possível recuperá-la. No entanto, você pode redefinir uma senha no console do AWS Directory Service ou usando a API ResetUserPassword.
-
Cria as seguintes três unidades organizacionais (UOs) na raiz do domínio:
Nome da UO Descrição Grupos delegados da AWS
Armazena todos os grupos que você pode usar para delegar permissões específicas da AWS a seus usuários. Reservada da AWS Armazena todas as contas específicas de gerenciamento da AWS. <yourdomainname> O nome dessa UO é baseado no nome NetBIOS digitado quando você criou seu diretório. Se você não especificar um nome NetBIOS, será usado como padrão a primeira parte do nome DNS do diretório (por exemplo, no caso de corp.example.com, o nome NetBIOS seria corp). Esta UO é de propriedade da AWS e contém todos os seus objetos de diretório relacionados à AWS, dos quais você recebeu controle total. Duas UOs filhas existem sob essa UO por padrão; Computers (Computadores) e Users (Usuários). Por exemplo: -
Corp
-
Computadores
-
Usuários
-
-
-
Cria os seguintes grupos na UO de grupos delegados da AWS:
Group name Descrição Operadores de contas delegadas da AWS Os membros desse grupo de segurança possuem capacidade limitada para gerenciamento de contas, como redefinições de senha Administradores de ativação baseadas no Active Directory delegados pela AWS
Os membros desse grupo de segurança podem criar objetos de ativação de licenciamento por volume do Active Directory, que permite que as empresas ativem os computadores por meio de uma conexão ao seu domínio.
Usuários delegados de adição de estações de trabalho ao domínio da AWS Os membros desse grupo de segurança podem adicionar 10 computadores a um domínio Administradores delegados da AWS Os membros desse grupo de segurança podem gerenciar o Microsoft AD gerenciado pela AWS, possuem controle total de todos os objetos na UO e podem gerenciar grupos contidos na UO de grupos delegados da AWS. Delegado da AWS permitido a autenticar objetos Os membros desse grupo de segurança recebem a capacidade de autenticar recursos do computador na UO reservada da AWS (necessária apenas para objetos on-premises com confianças habilitadas para autenticação seletiva). Delegado da AWS autorizado a autenticar em controladores de domínio Os membros desse grupo de segurança recebem a capacidade de autenticar recursos do computador na UO de controladores de domínio (necessária apenas para objetos on-premises com confianças habilitadas para autenticação seletiva). Administradores de ciclo de vida de objeto excluído delegados pela AWS
Os membros desse grupo de segurança podem modificar o objeto msDS-DeletedObjectLifetime, que define por quanto tempo um objeto excluído estará disponível para recuperação na lixeira do AD.
Administradores delegados de sistemas de arquivos distribuídos da AWS Os membros desse grupo de segurança podem adicionar e remover espaços de nome FRS, DFS-R e DFS. Administradores delegados de Domain Name System da AWS Os membros desse grupo de segurança podem gerenciar DNS integrado ao Active Directory. Administradores delegados do protocolo de configuração de host dinâmico da AWS Os membros desse grupo de segurança podem autorizar servidores DHCP do Windows na empresa. Administradores delegados da autoridade de certificação empresarial da AWS Os membros desse grupo de segurança podem implantar e gerenciar a infraestrutura da Autoridade de Certificação Empresarial da Microsoft. Administradores delegados da política de senha refinada da AWS Os membros desse grupo de segurança podem modificar políticas de senhas minuciosas pré-criadas. Administradores delegados de FSx da AWS Os membros deste grupo de segurança têm a capacidade de gerenciar recursos do Amazon FSx. Administradores delegados de políticas de grupo da AWS Os membros desse grupo de segurança podem realizar tarefas de gerenciamento de políticas de grupo (criar, editar, excluir, vincular). Administradores delegados de delegação Kerberos da AWS Os membros desse grupo de segurança podem permitir a delegação nos objetos de conta de usuário e computador. Administradores delegados de conta de serviço gerenciado da AWS Os membros desse grupo de segurança podem criar e excluir contas de serviço gerenciado. Dispositivos delegados não compatíveis com MS-NPRC da AWS Os membros desse grupo de segurança serão excluídos da exigência de comunicação por canais seguros com controladores de domínio. Esse grupo destina-se a contas de computador. Administradores delegados do serviço de acesso remoto da AWS Os membros desse grupo de segurança podem adicionar e remover servidores RAS do grupo de servidores RAS e IAS. Administradores delegados de alterações de diretório replicado da AWS Os membros desse grupo de segurança podem sincronizar as informações de perfil no Active Directory com o SharePoint Server. Administradores delegados de servidor da AWS Os membros desse grupo de segurança estão inclusos no grupo de administradores local em todos os computadores associados ao domínio. Administradores delegados de sites e serviços da AWS Os membros desse grupo de segurança podem renomear o objeto Default-First-Site-Name em sites e serviços do Active Directory. Administradores do Domain Name System delegados pela AWS Os membros desse grupo de segurança podem criar e gerenciar objetos no contêiner do System Management. Administradores delegados de licenciamento do servidor terminal da AWS Os membros desse grupo de segurança podem adicionar e remover servidores de licença do servidor terminal do grupo de servidores de licença do servidor terminal. Administradores delegados de sufixo do nome da entidade principal do usuário da AWS Os membros desse grupo de segurança podem adicionar e remover sufixos do nome da entidade principal do usuário. nota
Você pode adicionar a esses grupos delegados da AWS.
-
Cria e aplica os seguintes objetos de política de grupo (GPOs):
nota
Você não tem permissões para excluir, modificar ou desvincular estes GPOs. Isso ocorre intencionalmente, pois eles são reservados para uso da AWS. Você pode vinculá-los às UOs que você controla, se necessário.
Nome da política de grupo Aplica-se a Descrição Política de domínio padrão Domínio Inclui senha de domínio e políticas do Kerberos. ServerAdmins Todas as contas de computador que não são de controlador de domínio Adiciona os "Administradores de servidor delegados da AWS" como membros do Grupo BUILTIN\Administrators. Política:usuário reservada da AWS Contas de usuário reservadas da AWS Define as configurações de segurança recomendadas em todas as contas de usuário na UO reservada da AWS. Política gerenciada do Active Directory da AWS Todos os controladores de domínio Define as configurações de segurança recomendadas em todos os controladores de domínio. TimePolicyNT5DS Todos os controladores de domínio não PDCe Define todas as políticas de horário de controladores de domínio não PDCe para usar o Horário do Windows (NT5DS). TimePolicyPDC O controlador de domínio de PDCe Define a política de horário do controlador de domínio de PDCe para usar o Network Time Protocol (NTP). Política de controladores de domínio padrão Não usado Provisionada durante a criação do domínio, a política gerenciada do Active Directory da AWS é usada em seu lugar. Se quiser ver as configurações de cada GPO, você poderá visualizá-las em uma instância do Windows associada ao domínio com o Console de gerenciamento de política de grupo (GPMC)
habilitado. -
Cria as seguintes contas locais padrão para o gerenciamento do AWS Managed Microsoft AD:
Importante
Certifique-se de salvar a senha de administrador. O AWS Directory Service não armazena essa senha e ela não pode ser recuperada. No entanto, você pode redefinir uma senha no console do AWS Directory Service ou usando a API ResetUserPassword.
- Administrador
-
O administrador é a conta do administrador do diretório criada com o AWS Managed Microsoft AD. Você fornece uma senha para essa conta ao criar um AWS Managed Microsoft AD. Essa conta está localizada sob a UO Users (por exemplo, Corp > Users). Use essa conta para gerenciar seu Active Directory na AWS. Para ter mais informações, consulte Permissões da conta de administrador do AWS Managed Microsoft AD.
- AWS_
11111111111
-
Qualquer nome de conta que comece com AWS seguido por um sublinhado e localizado na UO reservada da AWS é uma conta gerenciada pelo serviço. Essa conta gerenciada pelo serviço é usada pela AWS para interagir com o Active Directory. Essas contas são criadas quando o AWS Directory Service Data está habilitado e com cada nova aplicação da AWS autorizada no Active Directory. Essas contas só podem ser acessadas pelos serviços da AWS.
- Senha da conta do krbtgt
-
A conta do krbtgt desempenha um papel importante nas trocas de tíquetes do Kerberos usadas pelo AWS Managed Microsoft AD. A conta do krbtgt é uma conta especial usada para criptografia de tíquetes de concessão de tíquetes (TGT) do Kerberos e desempenha um papel crucial na segurança do protocolo de autenticação Kerberos. Para obter mais informações, consulte a documentação da Microsoft
. A AWS alterna automaticamente a senha da conta do krbtgt para o AWS Managed Microsoft AD duas vezes a cada 90 dias. Há um período de espera de 24 horas entre as duas alternâncias consecutivas a cada 90 dias.
Para obter mais informações sobre a conta de administrador e outras contas criadas pelo Active Directory, consulte a documentação da Microsoft