使用 AWS Managed Microsoft AD 建立的內容

自動建立彈性網路介面（ENI），並將其與每個網域控制器建立關聯。這些對於您的 VPC和 AWS Directory Service 網域控制站之間的連線ENIs至關重要，絕對不應刪除。您可以 AWS Directory Service 藉由以下描述識別保留給使用的所有網路介面：「為目錄 ID AWS 建立網路介面」。如需詳細資訊，請參閱 Amazon EC2使用者指南 中的彈性網路介面。 AWS Managed Microsoft AD 的預設DNS伺服器 Active Directory 是無類別網域間路由（CIDR）+2 的VPCDNS伺服器。如需詳細資訊，請參閱 Amazon 使用者指南中的 Amazon DNS 伺服器。 VPC

注意

根據預設，網域控制器會部署在一個區域中的兩個可用區域，並連接至您的 Amazon VPC（VPC）。備份每天會自動取得一次，Amazon EBS（EBS）磁碟區會加密，以確保靜態資料的安全。一旦域控制站發生故障，將在同一可用區域中使用相同的 IP 地址自動替換，並且可以透過最新的備份執行完整的災難復原。

佈建 Active Directory VPC 使用兩個網域控制器來實現容錯能力和高可用性。目錄已成功建立且處於作用中狀態後，便可佈建更多的網域控制器，以取得更高的彈性和效能。如需詳細資訊，請參閱部署 AWS Managed Microsoft AD 的其他網域控制器。

注意

AWS 不允許在 AWS Managed Microsoft AD 網域控制站上安裝監控代理程式。

建立AWS 安全群組，為傳入和傳出網域控制器的流量建立網路規則。預設傳出規則允許連接到已建立 AWS 安全群組的所有流量ENIs或執行個體。預設傳入規則僅允許流量透過所需的連接埠 Active Directory 從 AWS Managed Microsoft AD VPCCIDR的。這些規則不會引入安全漏洞，因為網域控制站的流量僅限於來自 VPC、來自其他對等的 VPCs或來自您已使用 AWS Direct Connect、 AWS Transit Gateway 或 Virtual Private Network 連線之網路的流量。為了額外的安全性，建立ENIs的不會IPs連接彈性 IP，而且您沒有將彈性 IP 連接至這些的許可ENIs。因此，唯一可以與 AWS Managed Microsoft AD 通訊的傳入流量是本機VPC和VPC路由流量。您可以變更 AWS 安全群組規則。嘗試變更這些規則時請格外小心，因為這樣可能會破壞您與網域控制器之間的通訊能力。如需詳細資訊，請參閱AWS 受管 Microsoft AD 最佳實務。預設會建立下列 AWS 安全群組規則：

傳入規則

通訊協定	連接埠範圍	來源	流量類型	Active Directory 用量
ICMP	N/A	AWS 受管 Microsoft AD VPC IPv4 CIDR	Ping	LDAP 保持運作、 DFS
TCP & UDP	53	AWS 受管 Microsoft AD VPC IPv4 CIDR	DNS	使用者和電腦身分驗證、名稱解析、信任
TCP & UDP	88	AWS 受管 Microsoft AD VPC IPv4 CIDR	Kerberos	使用者和電腦身分驗證、森林層級信任
TCP & UDP	389	AWS 受管 Microsoft AD VPC IPv4 CIDR	LDAP	目錄、複寫、使用者和電腦身分驗證群組政策、信任
TCP & UDP	445	AWS 受管 Microsoft AD VPC IPv4 CIDR	SMB / CIFS	複寫、使用者和電腦身分驗證、群組政策、信任
TCP & UDP	464	AWS 受管 Microsoft AD VPC IPv4 CIDR	Kerberos 更改/設定密碼	複寫、使用者和電腦身分驗證、信任
TCP	135	AWS 受管 Microsoft AD VPC IPv4 CIDR	複寫	RPC, EPM
TCP	636	AWS 受管 Microsoft AD VPC IPv4 CIDR	LDAP SSL	目錄、複寫、使用者和電腦身分驗證、群組政策、信任
TCP	1024-65535	AWS 受管 Microsoft AD VPC IPv4 CIDR	RPC	複寫、使用者和電腦身分驗證、群組政策、信任
TCP	3268-3269	AWS 受管 Microsoft AD VPC IPv4 CIDR	LDAP GC 和 LDAP GC SSL	目錄、複寫、使用者和電腦身分驗證、群組政策、信任
UDP	123	AWS 受管 Microsoft AD VPC IPv4 CIDR	Windows 時間	Windows 時間、信任
UDP	138	AWS 受管 Microsoft AD VPC IPv4 CIDR	DFSN & NetLogon	DFS，群組政策
全部	全部	AWS 受管 Microsoft AD VPC IPv4 CIDR	所有流量

傳出規則

通訊協定	連接埠範圍	目的地	流量類型	Active Directory 用量
全部	全部	0.0.0.0/0	所有流量

如需所使用的連接埠和通訊協定的詳細資訊 Active Directory，請參閱中的 Windows 的服務概觀和網路連接埠需求 Microsoft 文件中)。

建立含有使用者名稱 Admin 與指定密碼的目錄管理員帳戶。此帳戶位於使用者 OU 下 (例如公司 > 使用者)。您可以使用此帳戶來管理 AWS Cloud 中的目錄。如需詳細資訊，請參閱AWS Managed Microsoft AD Administrator 帳戶許可。

重要

請務必儲存此密碼。 AWS Directory Service 不會儲存此密碼，且無法擷取。不過，您可以從 AWS Directory Service 主控台或使用 ResetUserPassword 重設密碼API。

在網域根下建立下列三個組織單位（OUs）：

OU 名稱	描述
AWS 委派群組	存放所有群組，您可以使用這些群組將 AWS 特定許可委派給使用者。
AWS 已預留	存放所有 AWS 管理特定帳戶。
<yourdomainname>	此 OU 的名稱取決於您在建立目錄時輸入的 NetBIOS 名稱。如果您未指定 NetBIOS 名稱，它會預設為目錄DNS名稱的第一個部分（例如，在 corp.example.com 中，NetBIOS 名稱會是 corp ）。此 OU 由擁有 AWS ，並包含您所有 AWS相關的目錄物件，而您已獲得完全控制。根據預設，此 OU 下OUs有兩個子項；電腦和使用者。例如：公司電腦使用者

在委派群組 OU AWS 中建立下列群組：

Group name (群組名稱)	描述
AWS 委派帳戶運算子	此安全群組的成員具備有限的帳戶管理功能，例如密碼重設
AWS 委派 Active Directory 型啟用管理員	此權限安全群組成員可以建立 Active Directory 大量授權啟用物件，以便企業透過網域連線來啟用電腦。
AWS 委派將工作站新增至網域使用者	此安全群組的成員可以將 10 部電腦加入網域。
AWS 委派的管理員	此安全群組的成員可以管理 AWS Managed Microsoft AD、完全控制 OU 中的所有物件，以及管理 AWS 委派群組 OU 中包含的群組。
AWS 委派允許驗證物件	此安全群組的成員可以對 AWS 預留 OU 中的電腦資源進行身分驗證（僅對已啟用選擇性身分驗證信任的內部部署物件而言才需要）。
AWS 委派允許驗證網域控制站	此安全性群組的成員可以對網域控制器 OU 中的電腦資源進行驗證 (只有已啟用選擇性身分驗證信任的內部部署物件才需要)。
AWS 委派的已刪除物件存留期管理員	此安全群組的成員可以修改 msDS -DeletedObjectLifetime 物件，其定義已刪除的物件可從 AD 回收筒復原的時間長度。
AWS 委派的分散式檔案系統管理員	此安全群組的成員可以新增和移除 FRS、DFS-R 和DFS命名空間。
AWS 委派網域名稱系統管理員	此安全群組的成員可以管理 Active Directory 整合的 DNS。
AWS 委派的動態主機組態通訊協定管理員	此安全群組的成員可以授權企業中的 Windows DHCP 伺服器。
AWS 委派企業憑證授權單位管理員	此安全群組的成員可以部署及管理 Microsoft 企業憑證授權機構基礎設施。
AWS 委派精細分割密碼政策管理員	此安全群組的成員可以修改預先建立的微調密碼政策。
AWS 委派FSx管理員	此安全群組的成員可以管理 Amazon FSx 資源。
AWS 委派的群組政策管理員	此安全群組的成員可以執行群組政策管理任務 (建立、編輯、刪除、連結)。
AWS 委派 Kerberos 委派管理員	此安全群組的成員可以在電腦和使用者帳戶物件上啟用委派。
AWS 委派的受管服務帳戶管理員	此安全群組的成員可以建立及刪除受管服務帳戶。
AWS 委派的 MSNPRC 不合規裝置	此安全群組的成員將被排除在需要與域控制站進行安全通道通訊的範圍之外。此群組用於電腦帳戶。
AWS 委派遠端存取服務管理員	此安全群組的成員可以從和 RAS 伺服器群組新增RAS和移除IAS伺服器。
AWS 委派的複寫目錄變更管理員	此安全群組的成員可以將 Active Directory 中的設定檔資訊與 SharePoint 伺服器同步。
AWS 委派的伺服器管理員	所有加入網域之電腦上的本機管理員群組中都包含此安全群組的成員。
AWS 委派站台和服務管理員	此安全群組的成員可以在 Active Directory Default-First-Site-Name網站和服務中重新命名物件。
AWS 委派的系統管理員	此權限安全群組成員可以在系統管理容器中建立並管理物件。
AWS 委派的終端機伺服器授權管理員	此安全群組的成員可以在終端機伺服器的授權伺服器群組中新增及移除終端機伺服器的授權伺服器。
AWS 委派的使用者主體名稱字尾管理員	此安全群組的成員可以新增及移除使用者主體名稱尾碼。

注意

您可以新增至這些 AWS 委派群組。

建立並套用下列群組政策物件（GPOs）：

注意

您沒有刪除、修改或取消連結這些的許可GPOs。這是根據設計，因為它們是保留供 AWS 使用。如有需要OUs，您可以將它們連結至您控制的項目。

群組政策名稱	適用對象	描述
預設網域政策	網域	包含網域密碼和 Kerberos 政策。
ServerAdmins	所有非網域控制器電腦帳戶	將「AWS 委派伺服器管理員」新增為BUILTIN「管理員」群組的成員。
AWS 預留政策：使用者	AWS 預留使用者帳戶	在 AWS 預留 OU 中的所有使用者帳戶上設定建議的安全設定。
AWS Managed Active Directory 政策	所有網域控制器	在所有網域控制器上設定建議的安全性設定。
TimePolicyNT5DS	所有非PDCe網域控制器	將所有非PDCe網域控制器時間政策設定為使用 Windows Time （NT5DS）。
TimePolicyPDC	PDCe 網域控制器	將PDCe網域控制器的時間政策設定為使用網路時間通訊協定（NTP）。
預設網域控制站政策	未使用	在網域建立期間佈建， AWS Managed Active Directory 政策會用於其位置。

如果您想要查看每個的設定GPO，您可以從已啟用群組政策管理主控台（GPMC）的加入 Windows 執行個體的網域檢視這些設定。

為 AWS Managed Microsoft AD 管理建立下列預設本機帳戶：

重要

請務必儲存 admin password。 AWS Directory Service 不會儲存此密碼，而且無法擷取。不過，您可以從 AWS Directory Service 主控台或使用 ResetUserPassword 重設密碼API。

管理員

admin 是第一次建立 AWS Managed Microsoft AD 時建立的目錄管理員帳戶。您在建立 AWS Managed Microsoft AD 時為此帳戶提供密碼。此帳戶位於使用者 OU 下 (例如公司 > 使用者)。您可以使用此帳戶來管理 Active Directory 在中 AWS。如需詳細資訊，請參閱AWS Managed Microsoft AD Administrator 帳戶許可。

AWS_11111111111

任何以開頭， AWS 後面加上底線且位於 AWS 預留 OU 的帳戶名稱都是服務受管帳戶。此服務受管帳戶 AWS 由用來與互動 Active Directory。這些帳戶會在 AWS Directory Service Data 啟用時建立，且每個新 AWS 應用程式皆在授權的情況下建立 Active Directory。這些帳戶只能由 AWS 服務存取。

krbtgt 帳戶密碼

krbtgt 帳戶在 AWS Managed Microsoft AD 使用的 Kerberos 票證交換中扮演重要角色。krbtgt 帳戶是用於 Kerberos 票證授予票證（TGT）加密的特殊帳戶，在 Kerberos 身分驗證通訊協定的安全性中扮演重要角色。如需詳細資訊，請參閱 Microsoft 文件。

AWS 每 90 天自動輪換兩次 AWS Managed Microsoft AD 的 krbtgt 帳戶密碼。每 90 天兩次連續輪換之間有 24 小時的等待期。