O que é criado com seu Microsoft AD AWS gerenciado

Cria e associa automaticamente uma interface de rede elástica (ENI) a cada um dos seus controladores de domínio. Cada um deles ENIs é essencial para a conectividade entre você VPC e os controladores de AWS Directory Service domínio e nunca deve ser excluído. Você pode identificar todas as interfaces de rede reservadas para uso com AWS Directory Service a descrição: "interface de rede AWS criada para id de diretório”. Para obter mais informações, consulte Elastic Network Interfaces no Amazon EC2 User Guide. O DNS servidor padrão do Microsoft AD AWS gerenciado Active Directory é o VPC DNS servidor em Classless Inter-Domain Routing () CIDR +2. Para obter mais informações, consulte o DNSservidor Amazon no Guia VPC do usuário da Amazon.

nota

Por padrão, os controladores de domínio são implantados em duas zonas de disponibilidade em uma região e conectados à sua Amazon VPC ()VPC. Os backups são feitos automaticamente uma vez por dia, e os volumes da Amazon EBS (EBS) são criptografados para garantir que os dados estejam protegidos em repouso. Os controladores de domínio que falham são substituídos automaticamente na mesma zona de disponibilidade usando o mesmo endereço IP, e uma recuperação completa de desastres pode ser realizada usando-se o backup mais recente.

Provisões Active Directory dentro de você VPC usando dois controladores de domínio para tolerância a falhas e alta disponibilidade. Mais controladores de domínio podem ser provisionados para maior resiliência e desempenho depois que o diretório foi criado com êxito e está Ativo. Para obter mais informações, consulte Implantando controladores de domínio adicionais para seu AWS Microsoft AD gerenciado.

nota

AWS não permite a instalação de agentes de monitoramento em controladores de domínio AWS gerenciados do Microsoft AD.

Cria um grupo AWS de segurança que estabelece regras de rede para o tráfego de entrada e saída de seus controladores de domínio. A regra de saída padrão permite todo o tráfego ENIs ou instâncias vinculadas ao grupo de AWS segurança criado. As regras de entrada padrão permitem somente o tráfego através de portas que são exigidas pelo Active Directory do seu VPC CIDR para o seu Microsoft AD AWS gerenciado. Essas regras não introduzem vulnerabilidades de segurança, pois o tráfego para os controladores de domínio é limitado ao tráfego de suaVPC, de outras redes com peering VPCs ou de redes que você conectou usando o AWS Transit AWS Direct Connect Gateway ou a Rede Privada Virtual. Para segurança adicional, os ENIs que são criados não têm Elastic IPs anexado a eles e você não tem permissão para anexar um IP elástico a elesENIs. Portanto, o único tráfego de entrada que pode se comunicar com seu Microsoft AD AWS gerenciado é o tráfego local VPC e VPC roteado. Você pode alterar as regras do grupo de AWS segurança. Tenha muito cuidado se tentar alterar essas regras, pois você pode prejudicar sua capacidade de se comunicar com os controladores de domínio. Para obter mais informações, consulte AWS Práticas recomendadas gerenciadas do Microsoft AD. As seguintes regras do grupo de AWS segurança são criadas por padrão:

Regras de entrada

Protocolo	Intervalo de portas	Origem	Tipo de tráfego	Uso do Active Directory
ICMP	N/D	AWS Microsoft AD gerenciado VPC IPv4 CIDR	Ping	LDAPMantenha-se vivo, DFS
TCP & UDP	53	AWS Microsoft AD gerenciado VPC IPv4 CIDR	DNS	Autenticação de usuário e computador, resolução de nome, confianças
TCP & UDP	88	AWS Microsoft AD gerenciado VPC IPv4 CIDR	Kerberos	Autenticação de usuário e computador, confianças do nível floresta
TCP & UDP	389	AWS Microsoft AD gerenciado VPC IPv4 CIDR	LDAP	Diretório, replicação, política de grupo de autenticação de usuário e computador, confianças
TCP & UDP	445	AWS Microsoft AD gerenciado VPC IPv4 CIDR	SMB / CIFS	Replicação, autenticação de usuário e computador, política de grupo, confianças
TCP & UDP	464	AWS Microsoft AD gerenciado VPC IPv4 CIDR	Alterar/definir senha do Kerberos	Replicação, autenticação de usuário e computador, confianças
TCP	135	AWS Microsoft AD gerenciado VPC IPv4 CIDR	Replicação	RPC, EPM
TCP	636	AWS Microsoft AD gerenciado VPC IPv4 CIDR	LDAP SSL	Diretório, replicação, autenticação de usuário e computador, política de grupo, confianças
TCP	1024-65535	AWS Microsoft AD gerenciado VPC IPv4 CIDR	RPC	Replicação, autenticação de usuário e computador, política de grupo, confianças
TCP	3268 - 3269	AWS Microsoft AD gerenciado VPC IPv4 CIDR	LDAPGC e LDAP GC SSL	Diretório, replicação, autenticação de usuário e computador, política de grupo, confianças
UDP	123	AWS Microsoft AD gerenciado VPC IPv4 CIDR	Horário do Windows	Horário do Windows, confianças
UDP	138	AWS Microsoft AD gerenciado VPC IPv4 CIDR	DFSN & NetLogon	DFS, política de grupo
Todos	Todos	AWS Microsoft AD gerenciado VPC IPv4 CIDR	Todo o tráfego

Regras de saída

Protocolo	Intervalo de portas	Destination (Destino)	Tipo de tráfego	Uso do Active Directory
Todos	Tudo	0.0.0.0/0	Todo o tráfego

Para obter mais informações sobre as portas e protocolos usados pelo Active Directory, consulte Visão geral do serviço e requisitos de porta de rede para Windows em Microsoft documentação.

Cria uma conta de administrador do diretório com o nome de usuário Admin e a senha especificada. Essa conta está localizada sob a UO Users (por exemplo, Corp > Users). Você usa essa conta para gerenciar seu diretório na AWS nuvem. Para obter mais informações, consulte AWS Permissões gerenciadas da conta de administrador do Microsoft AD.

Importante

Certifique-se de salvar essa senha. AWS Directory Service não armazena essa senha e ela não pode ser recuperada. No entanto, você pode redefinir uma senha no AWS Directory Service console ou usando ResetUserPasswordAPIo.

Cria as três unidades organizacionais a seguir (OUs) sob a raiz do domínio:

Nome da UO	Descrição
AWS Grupos delegados	Armazena todos os grupos que você pode usar para delegar permissões AWS específicas aos seus usuários.
AWS Reservado	Armazena todas as contas específicas de AWS gerenciamento.
<yourdomainname>	O nome dessa OU é baseado no BIOS nome da rede que você digitou ao criar seu diretório. Se você não especificou um BIOS nome de rede, o padrão será a primeira parte do DNS nome do diretório (por exemplo, no caso de corp.example.com, o BIOS nome da rede seria corp). Essa OU pertence AWS e contém todos os seus objetos de diretório AWS relacionados, sobre os quais você tem controle total. Por padrão, OUs existem dois filhos nesta OU: Computadores e Usuários. Por exemplo: Corp Computadores Usuários

Cria os seguintes grupos na OU de Grupos AWS Delegados:

Group name	Descrição
AWS Operadores de contas delegadas	Os membros desse grupo de segurança possuem capacidade limitada para gerenciamento de contas, como redefinições de senha
AWS Administradores delegados de ativação baseados no Active Directory	Os membros desse grupo de segurança podem criar objetos de ativação de licenciamento por volume do Active Directory, que permite que as empresas ativem os computadores por meio de uma conexão ao seu domínio.
AWS Adicionar estações de trabalho delegadas aos usuários do domínio	Os membros desse grupo de segurança podem adicionar 10 computadores a um domínio
AWS Administradores delegados	Os membros desse grupo de segurança podem gerenciar o Microsoft AD AWS gerenciado, ter controle total de todos os objetos em sua OU e gerenciar grupos contidos na OU de grupos AWS delegados.
AWS Delegado com permissão para autenticar objetos	Os membros desse grupo de segurança têm a capacidade de se autenticar nos recursos do computador na OU AWS Reservada (necessária somente para objetos locais com Trusts habilitados para Autenticação Seletiva).
AWS Delegado com permissão para autenticação em controladores de domínio	Os membros desse grupo de segurança recebem a capacidade de autenticar recursos do computador na UO de controladores de domínio (necessária apenas para objetos on-premises com confianças habilitadas para autenticação seletiva).
AWS Administradores delegados de vida útil de objetos excluídos	Os membros desse grupo de segurança podem modificar o DeletedObjectLifetime objeto MSDs-, que define por quanto tempo um objeto excluído estará disponível para ser recuperado da Lixeira do AD.
AWS Administradores delegados de sistemas de arquivos distribuídos	Os membros desse grupo de segurança podem adicionar e removerFRS, DFS -R e DFS namespaces.
AWS Administradores de sistemas de nomes de domínio delegados	Os membros desse grupo de segurança podem gerenciar o Active Directory integradoDNS.
AWS Administradores delegados do Dynamic Host Configuration Protocol	Os membros desse grupo de segurança podem autorizar DHCP servidores Windows na empresa.
AWS Administradores delegados da Autoridade de Certificação Empresarial	Os membros desse grupo de segurança podem implantar e gerenciar a infraestrutura da Autoridade de Certificação Empresarial da Microsoft.
AWS Administradores delegados de políticas de senhas refinadas	Os membros desse grupo de segurança podem modificar políticas de senhas minuciosas pré-criadas.
AWS Administradores delegados FSx	Os membros desse grupo de segurança têm a capacidade de gerenciar os FSx recursos da Amazon.
AWS Administradores delegados de políticas de grupo	Os membros desse grupo de segurança podem realizar tarefas de gerenciamento de políticas de grupo (criar, editar, excluir, vincular).
AWS Administradores de delegação delegados do Kerberos	Os membros desse grupo de segurança podem permitir a delegação nos objetos de conta de usuário e computador.
AWS Administradores delegados de contas de serviços gerenciados	Os membros desse grupo de segurança podem criar e excluir contas de serviço gerenciado.
AWS Dispositivos delegados NPRC não compatíveis com MS	Os membros desse grupo de segurança serão excluídos da exigência de comunicação por canais seguros com controladores de domínio. Esse grupo destina-se a contas de computador.
AWS Administradores do serviço de acesso remoto delegado	Os membros desse grupo de segurança podem adicionar e remover RAS servidores do grupo RAS e IAS Servidores.
AWS Administradores de alterações do diretório de replicação delegado	Os membros desse grupo de segurança podem sincronizar as informações do perfil no Active Directory com o SharePoint Server.
AWS Administradores de servidor delegados	Os membros desse grupo de segurança estão inclusos no grupo de administradores local em todos os computadores associados ao domínio.
AWS Administradores de sites e serviços delegados	Os membros desse grupo de segurança podem renomear o Default-First-Site-Name objeto nos Serviços e Sites do Active Directory.
AWS Administradores delegados de gerenciamento de sistemas	Os membros desse grupo de segurança podem criar e gerenciar objetos no contêiner do System Management.
AWS Administradores delegados de licenciamento do Terminal Server	Os membros desse grupo de segurança podem adicionar e remover servidores de licença do servidor terminal do grupo de servidores de licença do servidor terminal.
AWS Administradores de sufixo de nome principal de usuário delegado	Os membros desse grupo de segurança podem adicionar e remover sufixos do nome da entidade principal do usuário.

nota

Você pode adicionar a esses grupos AWS delegados.

Cria e aplica os seguintes Objetos de Política de Grupo (GPOs):

nota

Você não tem permissões para excluí-los, modificá-los ou desvinculá-losGPOs. Isso ocorre intencionalmente, pois eles são reservados para AWS uso. Você pode vinculá-los aos OUs que você controla, se necessário.

Nome da política de grupo	Aplica-se a	Descrição
Política de domínio padrão	Domínio	Inclui senha de domínio e políticas do Kerberos.
ServerAdmins	Todas as contas de computador que não são de controlador de domínio	Adiciona os 'Administradores de Servidores AWS Delegados' como membros do GrupoBUILTIN\ Administrators.
AWS Política reservada: Usuário	AWS Contas de usuário reservadas	Define as configurações de segurança recomendadas em todas as contas de usuário na OU AWS reservada.
AWS Política gerenciada do Active Directory	Todos os controladores de domínio	Define as configurações de segurança recomendadas em todos os controladores de domínio.
TimePolicyNT5DS	Todos os controladores que não são de PDCe domínio	Define a política de horário de todos os controladores que não são controladores de PDCe domínio para usar o Windows Time (NT5DS).
TimePolicyPDC	O controlador PDCe de domínio	Define a política de horário do controlador de PDCe domínio para usar o Network Time Protocol (NTP).
Política de controladores de domínio padrão	Não usado	Provisionada durante a criação do domínio, a Política AWS Gerenciada do Active Directory é usada em seu lugar.

Se quiser ver as configurações de cada umaGPO, você pode visualizá-las em uma instância do Windows associada ao domínio com o console de gerenciamento de política de grupo (GPMC) ativado.

Cria as seguintes contas locais padrão para o gerenciamento AWS gerenciado do Microsoft AD:

Importante

Certifique-se de salvar a senha do administrador. AWS Directory Service não armazena essa senha e ela não pode ser recuperada. No entanto, você pode redefinir uma senha no AWS Directory Service console ou usando ResetUserPasswordAPIo.

Administrador

O administrador é a conta do administrador do diretório criada quando o Microsoft AD AWS gerenciado é criado pela primeira vez. Você fornece uma senha para essa conta ao criar um Microsoft AD AWS gerenciado. Essa conta está localizada sob a UO Users (por exemplo, Corp > Users). Você usa essa conta para gerenciar seu Active Directory no AWS. Para obter mais informações, consulte AWS Permissões gerenciadas da conta de administrador do Microsoft AD.

AWS_11111111111

Qualquer nome de conta que comece com AWS seguido por um sublinhado e localizado na OU AWS reservada é uma conta gerenciada pelo serviço. Essa conta gerenciada pelo serviço é usada por AWS para interagir com o Active Directory. Essas contas são criadas quando o AWS Directory Service Data está ativado e com cada novo AWS aplicativo autorizado em Active Directory. Essas contas só podem ser acessadas por AWS serviços.

senha da conta krbtgt

A conta krbtgt desempenha um papel importante nas trocas de tíquetes Kerberos usadas pelo seu Microsoft AD gerenciado AWS . A conta krbtgt é uma conta especial usada para criptografia de ticket (TGT) de concessão de tíquetes Kerberos e desempenha um papel crucial na segurança do protocolo de autenticação Kerberos. Para obter mais informações, consulte a documentação da Microsoft.

AWS gira automaticamente a senha da conta krbtgt para seu AWS Microsoft AD gerenciado duas vezes a cada 90 dias. Há um período de espera de 24 horas entre as duas rotações consecutivas a cada 90 dias.