AWS Managed Microsoft AD 入門 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Managed Microsoft AD 入門

AWS Managed Microsoft AD 會在 AWS 雲端中,建立受到 Windows Server 2019 支援並在 2012 R2 森林和域功能層級運作的全受管 Microsoft Active Directory。當您使用 AWS Managed Microsoft AD 建立目錄時,AWS Directory Service 會代您建立兩個域控制站並新增 DNS 服務。網域控制站是在 Amazon VPC 的不同子網路中建立的,此冗餘有助於確保即使發生故障,您的目錄仍可存取。如果您需要更多網域控制器,可於稍後新增。如需詳細資訊,請參閱部署其他網域控制器

AWS Managed Microsoft AD 先決條件

要創建一個AWS託管 Microsoft AD 活動目錄,你需要一個 Amazon VPC 具有以下內容:

  • 至少兩個子網路。每個子網路皆必須位於不同的可用區域。

  • VPC 必須具有預設硬體租用。

  • 您不能使用 198.18.0.0/15 地址空間中的地址,在 VPC 中建立 AWS Managed Microsoft AD。

如果您需要將您的 AWS Managed Microsoft AD 域與現有的內部部署 Active Directory 域整合,您必須將內部部署域的森林和域功能層級設定為 Windows Server 2003 或更新版本。

AWS Directory Service 使用雙 VPC 結構。組成您的目錄之 EC2 執行個體會在 AWS 帳戶外部執行,並受 AWS 管理。其使用兩種網路轉接器,ETH0ETH1ETH0 是管理轉接器,而且位於您的帳戶外部。ETH1 則是建立於您的帳戶內部。

您目錄的 ETH0 網路的管理 IP 範圍是 198.18.0.0/15。

AWS IAM Identity Center 先決條件

如果您打算將 IAM Identity Center 與 AWS Managed Microsoft AD 搭配使用,您需要確保符合下列條件:

  • 您的 AWS Managed Microsoft AD 目錄是在 AWS 組織的管理帳戶中設定。

  • 您的 IAM Identity Center 執行個體與 AWS Managed Microsoft AD 目錄是在相同區域中設定。

如需詳細資訊,請參閱《AWS IAM Identity Center 使用者指南》中的 IAM Identity Center 先決條件一節。

多重要素驗證先決條件

若要支援 AWS Managed Microsoft AD 目錄的多重驗證,您必須遵循下列方式設定內部部署或雲端型遠端身分驗證撥號使用者服務 (RADIUS) 伺服器,使其可接受來自 AWS 中您的 AWS Managed Microsoft AD 目錄的請求。

  1. 在您的 RADIUS 伺服器上,建立兩個 RADIUS 用戶端來代表 AWS 中的兩個 AWS Managed Microsoft AD 域控制站 (DC)。您必須使用下列一般參數來設定這兩個用戶端 (您的 RADIUS 伺服器可能會有所不同):

    • 地址 (DNS 或 IP):這是其中一個 AWS Managed Microsoft AD DC 的 DNS 地址。您可以在計劃計使用 MFA 之 AWS Managed Microsoft AD 目錄的 Details (詳細資訊) 頁面上的 AWS Directory Service 主控台中,找到這兩個 DNS 地址。顯示的 DNS 地址代表 AWS 所使用之兩個 AWS Managed Microsoft AD DC 的 IP 地址。

      注意

      如果您的 RADIUS 伺服器支援 DNS 地址,您只能建立一個 RADIUS 用戶端組態。否則,您必須為每個 AWS Managed Microsoft AD DC 建立一個 RADIUS 用戶端組態。

    • 連接埠號碼:設定您的 RADIUS 伺服器用來接受 RADIUS 用戶端連線的連接埠號碼。標準 RADIUS 連接埠是 1812。

    • 共用密碼:輸入或產生 RADIUS 伺服器將用來連線到 RADIUS 用戶端的共用密碼。

    • 協定:您可能需要設定 AWS Managed Microsoft AD DC 與 RADIUS 伺服器之間的身分驗證協定。支援的協定包括 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建議使用 MS-CHAPv2,因為它提供三種選項當中最強大的安全。

    • 應用程式名稱:這在某些 RADIUS 伺服器中可能是選用的,通常用來識別訊息或報告中的應用程式。

  2. 設定您的現有網路,允許從 RADIUS 用戶端 (AWS Managed Microsoft AD DC DNS 地址,請參閱步驟 1) 到您的 RADIUS 伺服器連接埠的對內流量。

  3. 新增規則至您 AWS Managed Microsoft AD 域中的 Amazon EC2 安全群組,允許來自您之前定義的 RADIUS 伺服器 DNS 地址和連接埠號碼的對內流量。如需詳細資訊,請參閱《EC2 使用者指南》中的「新增規則至安全群組」一節。

如需搭配使用 AWS Managed Microsoft AD 與 MFA 的詳細資訊,請參閱「為 AWS Managed Microsoft AD 啟用多重要素驗證」。

創建您的AWS管理 Microsoft AD 活動目錄

若要建立新的目錄,請執行以下步驟:開始此程序之前,請確定您已完成「AWS Managed Microsoft AD 先決條件」中所示的必要條件。

建立 AWS Managed Microsoft AD 目錄
  1. AWS Directory Service 主控台中,選擇目錄,然後選擇設定目錄

  2. 選取目錄類型頁面上,選擇 AWS Managed Microsoft AD,然後選擇下一步

  3. Enter directory information (輸入目錄資訊) 頁面上,提供下列資訊:

    Edition (版本)

    選擇 AWS Managed Microsoft AD 的標準版企業版。如需版本的詳細資訊,請參閱 AWS Directory Service for Microsoft Active Directory

    目錄 DNS 名稱

    目錄的完全合格名稱,例如 corp.example.com

    目錄 NetBIOS 名稱

    目錄的簡短名稱,例如:CORP

    目錄描述

    選擇填寫其他目錄說明。

    管理員密碼

    目錄管理員的密碼。目錄建立程序會建立含有使用者名稱 Admin 與這組密碼的管理者帳戶。

    密碼不得包含「admin」一字。

    目錄管理者密碼區分大小寫,長度須介於 8 至 64 個字元之間。至少須有一位字元屬於以下四種類型中的三類:

    • 小寫字母 (a-z)

    • 大寫字母 (A-Z)

    • 數字 (0-9)

    • 非英數字元 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirm password (確認密碼)

    重新輸入管理員密碼。

  4. Choose VPC and subnets (選擇 VPC 和子網路) 頁面上,提供下列資訊,然後選擇 Next (下一步)

    VPC

    目錄的 VPC。

    子網

    選擇網域控制站的子網路。這兩個子網路必須位於不同的可用區域。

  5. Review & create (檢閱和建立) 頁面上檢閱目錄資訊,並進行必要的變更。若資訊無誤,請選擇 Create directory (建立目錄)。建立目錄需要 20 到 40 分鐘。建立後,Status (狀態) 值會變更為 Active (作用中)。

什麼被創建與AWS管理 Microsoft AD 活動目錄

當您使用AWS受管理的 Microsoft AD 建立作用中目錄時,請代表您AWS Directory Service執行下列工作:

  • 自動建立彈性網路介面 (ENI) 並將其與您的每個域控制站建立關聯。其中每一個 ENI 對於 VPC 及 AWS Directory Service 網路控制器之間的連線都至關重要,而且不應該刪除。您可以依描述來識別保留給 AWS Directory Service 使用的所有網路介面:「AWS 為目錄 directory-id 建立的網路介面」。如需詳細資訊,請參閱 Amazon EC2 Windows 執行個體使用者指南中的彈性網路界面

    注意

    依預設,網域控制站會部署在區域中的兩個可用區域,並連接到您的 Amazon VPC (VPC)。每天會自動執行一次備份,而 Amazon EBS (EBS) 磁碟區也會加密,以確保靜態資料受到保護。一旦域控制站發生故障,將在同一可用區域中使用相同的 IP 地址自動替換,並且可以透過最新的備份執行完整的災難復原。

  • 在 VPC 中使用兩個網域控制器來佈建 Active Directory,以提供容錯能力和高可用性。目錄已成功建立且處於作用中狀態後,便可佈建更多的網域控制器,以取得更高的彈性和效能。如需詳細資訊,請參閱部署其他網域控制器

    注意

    AWS 不允許在 AWS Managed Microsoft AD 域控制站上安裝監控代理程式。

  • 建立 AWS 安全群組,藉此確立網路規則,來管理域控制站的出入流量。預設輸出規則允許所有連接至已建立的 AWS 安全群組之流量 ENI 或執行個體。預設的傳入規則僅允許通過 Active Directory 規定連接埠的流量 (來源不限) (0.0.0.0/0)。0.0.0.0/0 規則不會引發安全性漏洞,因為網域控制器的流量受限於來自 VPC、其他對等 VPC 的流量,或來自使用 AWS Direct Connect、AWS 傳輸閘道或虛擬私有網路的網路。為了提高安全性,已建立的 ENI 不會連接彈性 IP,且您沒有將彈性 IP 連接到這些 ENI 的許可。因此,唯一可與您 AWS Managed Microsoft AD 通訊的輸入流量是本機 VPC 和 VPC 路由流量。嘗試變更這些規則時請格外小心,因為這樣可能會破壞您與網域控制器之間的通訊能力。如需詳細資訊,請參閱AWS Managed Microsoft AD 的最佳實務。依預設,下列 AWS 安全性群組規則會被建立:

    傳入規則

    通訊協定 連接埠範圍 來源 流量類型 Active Directory 用量
    ICMP N/A 0.0.0.0/0 Ping LDAP Keep Alive、DFS
    TCP 和 UDP 53 0.0.0.0/0 DNS 使用者和電腦身分驗證、名稱解析、信任
    TCP 和 UDP 88 0.0.0.0/0 Kerberos 使用者和電腦身分驗證、森林層級信任
    TCP 和 UDP 389 0.0.0.0/0 LDAP 目錄、複寫、使用者和電腦身分驗證群組政策、信任
    TCP 和 UDP 445 0.0.0.0/0 SMB/CIFS 複寫、使用者和電腦身分驗證、群組政策、信任
    TCP 和 UDP 464 0.0.0.0/0 Kerberos 更改/設定密碼 複寫、使用者和電腦身分驗證、信任
    TCP 135 0.0.0.0/0 複寫 RPC、EPM
    TCP 636 0.0.0.0/0 LDAP SSL 目錄、複寫、使用者和電腦身分驗證、群組政策、信任
    TCP 1024-65535 0.0.0.0/0 RPC 複寫、使用者和電腦身分驗證、群組政策、信任
    TCP 3268-3269 0.0.0.0/0 LDAP GC 和 LDAP GC SSL 目錄、複寫、使用者和電腦身分驗證、群組政策、信任
    UDP 123 0.0.0.0/0 Windows 時間 Windows 時間、信任
    UDP 138 0.0.0.0/0 DFSN & NetLogon DFS、群組政策
    全部 全部 sg-################## 所有流量

    傳出規則

    通訊協定 連接埠範圍 目的地 流量類型 Active Directory 用量
    全部 全部 sg-################## 所有流量
  • 如需 Active Directory 使用的連接埠和協定的詳細資訊,請參閱 Microsoft 文件中的 Windows 的服務概述和網路連接埠要求一文。

  • 建立含有使用者名稱 Admin 與指定密碼的目錄管理員帳戶。此帳戶位於使用者 OU 下 (例如公司 > 使用者)。您可以使用此帳戶來管理 AWS 雲端中的目錄。如需詳細資訊,請參閱管理員帳戶的權限

    重要

    請務必儲存此密碼。AWS Directory Service 不會存放此密碼,而且無法擷取密碼。不過,您可以從AWS Directory Service主控台或使用 ResetUserPasswordAPI 重設密碼。

  • 在網域根建立以下三個組織單位 (OU):

    OU 名稱 說明

    AWS 委派群組

    您可以存放您用以委派 AWS 特定許可給使用者的所有群組。
    AWS 已預留 存放所有 AWS 管理的特定帳戶。
    <yourdomainname> 此 OU 的名稱的基礎,是您建立目錄時所輸入的 NetBIOS 名稱。如未指定 NetBIOS 名稱,預設名稱將是您 Directory DNS (目錄 DNS) 的第一個部分 (以 corp.example.com 為例,NetBIOS 名稱就是 ​corp)。此 OU 屬於 AWS 且包含您所有 AWS 相關的目錄物件,您對此擁有完全控制權。此 OU 下預設存在兩個子 OU:Computers (電腦) 和 Users (使用者)。例如:
    • 公司

      • 電腦

      • 使用者

  • 在 AWS Delegated Groups (委派群組) OU 建立以下群組:

    Group name (群組名稱) 說明
    AWS 委派的帳戶操作員 此安全群組的成員具備有限的帳戶管理功能,例如密碼重設

    AWS​ 委託 Active Directory 型啟用管理員

    此權限安全群組成員可以建立 Active Directory 大量授權啟用物件,以便企業透過網域連線來啟用電腦。

    AWS 委派的新增工作站至網域使用者 此安全群組的成員可以將 10 部電腦加入網域。
    AWS 委派的管理員 此安全群組的成員可以管理 AWS Managed Microsoft AD、具備您 OU 中所有物件的完整控制權,並且可以管理 AWS 委派群組 OU 中所包含的群組。
    AWS 委派允許驗證物件 此安全性群組的成員可以對 AWS 預留 OU 中的電腦資源進行驗證 (只有已啟用選擇性身分驗證信任的內部部署物件才需要)。
    AWS 委派允許對網域控制器進行驗證 此安全性群組的成員可以對網域控制器 OU 中的電腦資源進行驗證 (只有已啟用選擇性身分驗證信任的內部部署物件才需要)。

    AWS 委派刪除物件生命週期管理員

    這個安全性群組的成員可以修改 msDS-DeletedObjectLifetime 物件,這會定義多久刪除的物件可以從 AD 資源回收筒復原。

    AWS 委派的分散式檔案系統管理員 此安全群組的成員可以新增及移除 FRS、DFS-R 和 DFS 命名空間。
    AWS 委派的網域名稱系統管理員 此安全群組的成員可以管理與 DNS 整合的 Active Directory。
    AWS 委派的動態主機設定協定管理員 此安全群組的成員可以授權企業中的 Windows DHCP 伺服器。
    AWS 委派的企業憑證授權機構管理員 此安全群組的成員可以部署及管理 Microsoft 企業憑證授權機構基礎設施。
    AWS 委派的微調密碼政策管理員 此安全群組的成員可以修改預先建立的微調密碼政策。
    AWS 委派的 FSx 管理員 此安全群組的成員具備 Amazon FSx 資源的管理能力。
    AWS 委派的群組政策管理員 此安全群組的成員可以執行群組政策管理任務 (建立、編輯、刪除、連結)。
    AWS 委派的 Kerberos 委派管理員 此安全群組的成員可以在電腦和使用者帳戶物件上啟用委派。
    AWS 委派的受管服務帳戶管理員 此安全群組的成員可以建立及刪除受管服務帳戶。
    AWS 委派的 MS–NPRC 不相容裝置 此安全群組的成員將被排除在需要與域控制站進行安全通道通訊的範圍之外。此群組用於電腦帳戶。
    AWS 委派的遠端存取服務管理員 此安全群組的成員可以在 RAS 和 IAS 伺服器群組中新增及移除 RAS 伺服器。
    AWS 委派的複寫目錄變更管理員 這個安全性群組的成員可以同步處理 Active Directory 中的設定檔資訊與 SharePoint 伺服器。
    AWS 委派的伺服器管理員 所有加入網域之電腦上的本機管理員群組中都包含此安全群組的成員。
    AWS 委派的網站和服務管理員 此安全群組的成員可以重新命名 Active Directory 網站和服務中的 Default–First–Site–Name 物件。
    AWS 委派系統管理員 此權限安全群組成員可以在系統管理容器中建立並管理物件。
    AWS 委派的終端機伺服器授權管理員 此安全群組的成員可以在終端機伺服器的授權伺服器群組中新增及移除終端機伺服器的授權伺服器。
    AWS 委派的使用者主體名稱尾碼管理員 此安全群組的成員可以新增及移除使用者主體名稱尾碼。
  • 建立並套用下列群組政策物件 (GPO):

    注意

    您無權刪除、修改或取消連結這些 GPO。這是專門設計的,因為它們需要保留供 AWS 使用。如果需要,您可以將它們連結到您控制的 OU。

    群組政策名稱 適用對象 說明
    預設網域政策 網域 包含網域密碼和 Kerberos 政策。
    ServerAdmins 所有非網域控制器電腦帳戶 將「AWS 委派伺服器管理員」新增為 BUILTIN\Administrators Group 的成員。
    AWS 預留政策:使用者 AWS 預留的使用者帳戶 在 AWS 預留 OU 中的所有使用者帳戶上設定建議的安全性設定。
    AWS 受管的使用中目錄政策 所有網域控制器 在所有網域控制器上設定建議的安全性設定。
    TimePolicyNT5DS 所有非 PDCe 網域控制器 將所有非 PDCe 網域控制器的時間政策設定為使用 Windows 時間 (NT5DS)。
    TimePolicyPDC PDCe 網域控制器 將 PDCe 網域控制器的時間政策設定為使用網路時間通訊協定 (NTP)。
    預設網域控制站政策 未使用 在網域建立期間佈建,在原處使用 AWS 受管的使用中目錄政策。

    如果您想要查看每個 GPO 的設定,可以從已啟用群組政策管理主控台 (GPMC) 的已加入域 Windows 執行個體檢視這些設定。

管理員帳戶的權限

當您建立 AWS Directory Service for Microsoft Active Directory 目錄時,AWS 會建立組織單位 (OU) 來存放所有 AWS 相關群組和帳戶。如需此 OU 的詳細資訊,請參閱「什麼被創建與AWS管理 Microsoft AD 活動目錄」。這包括管理帳戶。管理帳戶具有許可,能夠執行以下對您的 OU 而言常見的管理活動:

  • 新增、更新或刪除使用者、群組和電腦。如需詳細資訊,請參閱管理 AWS Managed Microsoft AD 中的使用者和群組

  • 新增資源 (例如檔案或列印伺服器) 至您的網域,然後對您 OU 中的使用者和群組指派這些資源的許可。

  • 建立額外的 OU 和容器。

  • 委派其他 OU 和容器的授權。如需詳細資訊,請參閱委派 AWS 受管 Microsoft AD 目錄加入權限

  • 建立及連結群組政策。

  • 從 Active Directory 資源回收筒還原已刪除的物件。

  • 在活動目錄 Web 服務上運行活動目錄和 DNS 視窗 PowerShell 模塊。

  • 建立及設定群組受管服務帳戶。如需詳細資訊,請參閱群組受管服務帳戶

  • 設定 Kerberos 限制委派。如需詳細資訊,請參閱Kerberos 限制委派

管理帳戶也有權執行下列全網域活動:

  • 管理 DNS 組態 (新增、移除或更新記錄、區域和轉寄站)

  • 檢視 DNS 事件日誌

  • 檢視安全事件日誌

管理帳戶僅允許此處所列的動作。管理帳戶也缺少您特定 OU (例如父 OU) 外部任何目錄相關動作的許可。

重要

AWS 網域管理員具備 AWS 上託管之所有網域的完整管理存取權限。如需 AWS 如何處理存放在 AWS 系統上之內容的詳細資訊 (包括目錄資訊),請參閱您與 AWS 的協議,以及 AWS 資料保護常見問答集

注意

建議您不要刪除或重新命名此帳戶。如果不想再使用該帳戶,建議您設定長密碼 (最長為 64 個隨機字元),然後停用該帳戶。

企業和域管理員特殊權限帳戶

AWS 每 90 天自動將內建管理員密碼輪換為隨機密碼。每當需要內建管理員密碼供人類使用時,都會建立 AWS 票證並由 AWS Directory Service 團隊記錄。帳戶憑證經過加密並透過安全通道處理。此外,管理員帳戶憑證只能由 AWS Directory Service 管理團隊請求。

若要對您的目錄執行營運管理,AWS 可專門控制具有企業管理員和域管理員權限的帳戶。這包括對活動目錄管理員帳戶的獨占控制。 AWS通過使用密碼保險庫自動化密碼管理來保護此帳戶。管理員密碼自動輪換時,AWS 會建立暫時使用者帳戶,並授與域管理員權限。此臨時帳戶是管理員帳戶密碼輪換失效時的備用方案。AWS 成功輪換管理員密碼之後,AWS 會刪除管理員帳戶。

AWS 通常藉由自動化運作整個目錄。如果自動化程序無法解決營運問題,AWS 可能需要讓支援工程師登入您的域控制站 (DC) 來執行診斷。在這些極少數情況下,AWS 會實作請求/通知系統,以授予存取。在此過程中,AWS 自動化會在目錄中建立具有域管理員許可的限時使用者帳戶。AWS 將使用者帳戶與指派在目錄上工作的工程師相關聯。AWS 在我們的日誌系統中記錄此關聯,並為工程師提供要使用的憑證。工程師採取的所有動作,都會記錄在 Windows 事件日誌。分配之時間結束時,會自動刪除使用者帳戶。

您可以使用目錄的日誌轉寄功能,監督管理帳戶的行動。此功能可讓您將 AD Security 事件轉寄至您的 CloudWatch系統,在此您可以實作監控解決方案。如需詳細資訊,請參閱啟用日誌轉發

當有人以互動的方式登入 DC 時,安全事件 ID 4624、4672 和 4648 都會被記錄下來。您可以從加入域的 Windows 電腦使用事件檢視器 Microsoft Management Console (MMC) 檢視每個 DC 的 Windows 安全性事件日誌。您也可以啟用日誌轉發將所有安全事件日誌發送到您帳戶中的 CloudWatch 日誌。

您有時可能會看到在 AWS 保留 OU 中的建立和刪除使用者操作。AWS 負責此 OU 以及我們未向您委派存取和管理許可的任何其他 OU 或容器中的所有物件的管理和安全性。您可能會看到該 OU 中的建立和刪除操作。這是因為 AWS Directory Service 使用自動化定期輪換域管理員密碼。密碼輪換時會建立備份,以防輪換失敗。輪換成功後,備份帳戶將自動刪除。此外,在極少數情況下,我們可能需要對 DC 進行互動式存取以進行疑難排解,此時系統會建立一個臨時使用者帳戶供 AWS Directory Service 工程師使用。一旦相關工程師完成工作,該臨時使用者帳戶將被刪除。請注意,每次為目錄請求互動式憑證時,AWS Directory Service 管理團隊都會收到通知。