本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Managed Microsoft AD 建立的內容
當您Active Directory使用 AWS Managed Microsoft AD 建立 時, 會代表您 AWS Directory Service 執行下列任務:
-
自動建立彈性網路介面 (ENI) 並將其與您的每個域控制站建立關聯。每個 ENIs對 VPC 和 AWS Directory Service 網域控制站之間的連線至關重要,而且絕對不應刪除。您可以藉由 AWS Directory Service 描述識別保留給 使用的所有網路介面:「為 directory-idAWS 建立網路介面」。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的彈性網路介面。 AWS Managed Microsoft AD 的預設 DNS 伺服器Active Directory是位於無類別網域間路由 (CIDR)+2 的 VPC DNS 伺服器。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 Amazon DNS 伺服器。
注意
根據預設,網域控制站會部署在一個區域中的兩個可用區域,並連接到您的 Amazon VPC (VPC)。備份每天會自動執行一次,Amazon EBS (EBS) 磁碟區會加密,以確保靜態資料的安全。一旦域控制站發生故障,將在同一可用區域中使用相同的 IP 地址自動替換,並且可以透過最新的備份執行完整的災難復原。
-
您的 VPC Active Directory中的佈建會使用兩個網域控制器來提供容錯能力和高可用性。目錄已成功建立且處於作用中狀態後,便可佈建更多的網域控制器,以取得更高的彈性和效能。如需詳細資訊,請參閱部署 AWS Managed Microsoft AD 的其他網域控制站。
注意
AWS 不允許在 AWS Managed Microsoft AD 網域控制站上安裝監控代理程式。
-
建立AWS 安全群組
sg-1234567890abcdef0
,為傳入和傳出網域控制站的流量建立網路規則。預設傳出規則允許連接到已建立 AWS 安全群組的所有流量 ENIs 或執行個體。預設傳入規則只允許流量透過Active Directory您 AWS Managed Microsoft AD 的 VPC CIDR 所需的連接埠。這些規則不會引入安全漏洞,因為網域控制站的流量僅限於來自 VPC、來自其他對等 VPCs 或來自您已使用 AWS Direct Connect、 AWS Transit Gateway 或 Virtual Private Network 連線之網路的流量。為了提高安全性,已建立的 ENI 不會連接彈性 IP,且您沒有將彈性 IP 連接到這些 ENI 的許可。因此,唯一可以與您的 AWS Managed Microsoft AD 通訊的傳入流量是本機 VPC 和 VPC 路由流量。您可以變更 AWS 安全群組規則。嘗試變更這些規則時請格外小心,因為這樣可能會破壞您與網域控制器之間的通訊能力。如需詳細資訊,請參閱 AWS Managed Microsoft AD 最佳實務 和 增強 AWS Managed Microsoft AD 網路安全組態。-
在 Windows 環境中,用戶端通常會透過伺服器訊息區塊 (SMB)
或連接埠 445 進行通訊。此通訊協定有助於各種動作,例如檔案和印表機共用和一般網路通訊。您會在連接埠 445 上看到用戶端流量到 AWS Managed Microsoft AD 網域控制器的管理介面。 當 SMB 用戶端依賴 DNS (連接埠 53) 和 NetBIOS (連接埠 138) 名稱解析來尋找 AWS Managed Microsoft AD 網域資源時,就會發生此流量。在尋找網域資源時,這些用戶端會導向網域控制器上任何可用的界面。此行為是預期的,通常發生在具有多個網路轉接器的環境中,其中 SMB 多通道
允許用戶端在不同介面之間建立連線,以提高效能和備援。
預設會建立下列 AWS 安全群組規則:
傳入規則
通訊協定 連接埠範圍 來源 流量類型 Active Directory 用量 ICMP N/A AWS Managed Microsoft AD VPC IPv4 CIDR Ping LDAP Keep Alive、DFS TCP 和 UDP 53 AWS Managed Microsoft AD VPC IPv4 CIDR DNS 使用者和電腦身分驗證、名稱解析、信任 TCP 和 UDP 88 AWS Managed Microsoft AD VPC IPv4 CIDR Kerberos 使用者和電腦身分驗證、森林層級信任 TCP 和 UDP 389 AWS Managed Microsoft AD VPC IPv4 CIDR LDAP 目錄、複寫、使用者和電腦身分驗證群組政策、信任 TCP 和 UDP 445 AWS Managed Microsoft AD VPC IPv4 CIDR SMB/CIFS 複寫、使用者和電腦身分驗證、群組政策、信任 TCP 和 UDP 464 AWS Managed Microsoft AD VPC IPv4 CIDR Kerberos 更改/設定密碼 複寫、使用者和電腦身分驗證、信任 TCP 135 AWS Managed Microsoft AD VPC IPv4 CIDR 複寫 RPC、EPM TCP 636 AWS Managed Microsoft AD VPC IPv4 CIDR LDAP SSL 目錄、複寫、使用者和電腦身分驗證、群組政策、信任 TCP 1024-65535 AWS Managed Microsoft AD VPC IPv4 CIDR RPC 複寫、使用者和電腦身分驗證、群組政策、信任 TCP 3268-3269 AWS Managed Microsoft AD VPC IPv4 CIDR LDAP GC 和 LDAP GC SSL 目錄、複寫、使用者和電腦身分驗證、群組政策、信任 UDP 123 AWS Managed Microsoft AD VPC IPv4 CIDR Windows 時間 Windows 時間、信任 UDP 138 AWS Managed Microsoft AD VPC IPv4 CIDR DFSN 和 NetLogon DFS、群組政策 全部 全部 AWS 為網域控制站建立安全群組 ( sg-1234567890abcdef0
)所有流量 傳出規則
通訊協定 連接埠範圍 目的地 流量類型 Active Directory 用量 全部 全部 0.0.0.0/0 所有流量 -
-
如需 所使用的連接埠和通訊協定的詳細資訊Active Directory,請參閱 Microsoft 文件中的 Windows 的服務概觀和網路連接埠需求
。 -
建立含有使用者名稱 Admin 與指定密碼的目錄管理員帳戶。此帳戶位於使用者 OU 下 (例如公司 > 使用者)。您可以使用此帳戶在 AWS 雲端中管理目錄。如需詳細資訊,請參閱AWS Managed Microsoft AD Administrator 帳戶許可。
重要
請務必儲存此密碼。 AWS Directory Service 不會儲存此密碼,而且無法擷取。不過,您可以從 AWS Directory Service 主控台或使用 ResetUserPassword API 重設密碼。
-
在網域根建立以下三個組織單位 (OU):
OU 名稱 描述 AWS 委派的群組
存放您可以使用的所有群組,將 AWS 特定許可委派給使用者。 AWS 預留 存放所有 AWS 管理特定帳戶。 <yourdomainname> 此 OU 的名稱的基礎,是您建立目錄時所輸入的 NetBIOS 名稱。如未指定 NetBIOS 名稱,預設名稱將是您 Directory DNS (目錄 DNS) 的第一個部分 (以 corp.example.com 為例,NetBIOS 名稱就是 corp)。此 OU 由 擁有 AWS ,並包含您所有 AWS相關的目錄物件,而您已獲得完全控制。此 OU 下預設存在兩個子 OU:Computers (電腦) 和 Users (使用者)。例如: -
公司
-
電腦
-
使用者
-
-
-
在 AWS 委派群組 OU 中建立下列群組:
Group name (群組名稱) 描述 AWS 委派的帳戶運算子 此安全群組的成員具備有限的帳戶管理功能,例如密碼重設 AWS 委派的 Active Directory 型啟用管理員
此權限安全群組成員可以建立 Active Directory 大量授權啟用物件,以便企業透過網域連線來啟用電腦。
AWS 委派將工作站新增至網域使用者 此安全群組的成員可以將 10 部電腦加入網域。 AWS 委派管理員 此安全群組的成員可以管理 AWS Managed Microsoft AD、完全控制 OU 中的所有物件,以及管理 AWS 委派群組 OU 中包含的群組。 AWS 允許委派來驗證物件 此安全群組的成員能夠對 AWS 預留 OU 中的電腦資源進行身分驗證 (僅對啟用選擇性身分驗證信任的現場部署物件需要)。 AWS 允許驗證網域控制器的委派 此安全性群組的成員可以對網域控制器 OU 中的電腦資源進行驗證 (只有已啟用選擇性身分驗證信任的內部部署物件才需要)。 AWS 委派的已刪除物件存留期管理員
此權限安全群組成員可以修改 msDS-DeletedObjectLifetime 物件,其定義已刪除物件可從 AD 資源回收筒復原的有效期限。
AWS 委派的分散式檔案系統管理員 此安全群組的成員可以新增及移除 FRS、DFS-R 和 DFS 命名空間。 AWS 委派網域名稱系統管理員 此安全群組的成員可以管理與 DNS 整合的 Active Directory。 AWS 委派的動態主機組態通訊協定管理員 此安全群組的成員可以授權企業中的 Windows DHCP 伺服器。 AWS 委派的企業憑證授權機構管理員 此安全群組的成員可以部署及管理 Microsoft 企業憑證授權機構基礎設施。 AWS 委派的精細分割密碼政策管理員 此安全群組的成員可以修改預先建立的微調密碼政策。 AWS 委派的 FSx 管理員 此安全群組的成員具備 Amazon FSx 資源的管理能力。 AWS 委派的群組政策管理員 此安全群組的成員可以執行群組政策管理任務 (建立、編輯、刪除、連結)。 AWS 委派的 Kerberos 委派管理員 此安全群組的成員可以在電腦和使用者帳戶物件上啟用委派。 AWS 委派的受管服務帳戶管理員 此安全群組的成員可以建立及刪除受管服務帳戶。 AWS 委派的 MS-NPRC 不合規裝置 此安全群組的成員將被排除在需要與域控制站進行安全通道通訊的範圍之外。此群組用於電腦帳戶。 AWS 委派的遠端存取服務管理員 此安全群組的成員可以在 RAS 和 IAS 伺服器群組中新增及移除 RAS 伺服器。 AWS 委派的複寫目錄變更管理員 此安全群組的成員可以同步 Active Directory 與 SharePoint Server 中的描述檔資訊。 AWS 委派的伺服器管理員 所有加入網域之電腦上的本機管理員群組中都包含此安全群組的成員。 AWS 委派的網站和服務管理員 此安全群組的成員可以重新命名 Active Directory 網站和服務中的 Default–First–Site–Name 物件。 AWS 委派的系統管理員 此權限安全群組成員可以在系統管理容器中建立並管理物件。 AWS 委派的終端機伺服器授權管理員 此安全群組的成員可以在終端機伺服器的授權伺服器群組中新增及移除終端機伺服器的授權伺服器。 AWS 委派的使用者主體名稱尾碼管理員 此安全群組的成員可以新增及移除使用者主體名稱尾碼。 注意
您可以新增至這些 AWS 委派群組。
-
建立並套用下列群組政策物件 (GPO):
注意
您無權刪除、修改或取消連結這些 GPO。這是根據設計,因為它們是保留供 AWS 使用。如果需要,您可以將它們連結到您控制的 OU。
群組政策名稱 適用對象 描述 預設網域政策 網域 包含網域密碼和 Kerberos 政策。 ServerAdmins 所有非網域控制器電腦帳戶 將「AWS 委派伺服器管理員」新增為 BUILTIN\Administrators 群組的成員。 AWS 預留政策:使用者 AWS 預留使用者帳戶 在 AWS 預留 OU 中的所有使用者帳戶上設定建議的安全性設定。 AWS 受管 Active Directory 政策 所有網域控制器 在所有網域控制器上設定建議的安全性設定。 TimePolicyNT5DS 所有非 PDCe 網域控制器 將所有非 PDCe 網域控制器的時間政策設定為使用 Windows 時間 (NT5DS)。 TimePolicyPDC PDCe 網域控制器 將 PDCe 網域控制器的時間政策設定為使用網路時間通訊協定 (NTP)。 預設網域控制站政策 未使用 受 AWS 管 Active Directory 政策會在網域建立期間佈建,以取代它。 如果您想要查看每個 GPO 的設定,可以從已啟用群組政策管理主控台 (GPMC)
的已加入域 Windows 執行個體檢視這些設定。 -
為 AWS Managed Microsoft AD 管理建立下列預設本機帳戶:
重要
請務必儲存 admin password。 AWS Directory Service 不會儲存此密碼,而且無法擷取。不過,您可以從 AWS Directory Service 主控台或使用 ResetUserPassword API 來重設密碼。 ResetUserPassword
- 管理員
-
admin 是第一次建立 AWS Managed Microsoft AD 時建立的目錄管理員帳戶。您在建立 AWS Managed Microsoft AD 時提供此帳戶的密碼。此帳戶位於使用者 OU 下 (例如公司 > 使用者)。您可以使用此帳戶在 Active Directory中管理 AWS。如需詳細資訊,請參閱AWS Managed Microsoft AD Administrator 帳戶許可。
- AWS_
11111111111
-
任何以 開頭, AWS 後面接著底線且位於 AWS 預留 OU 的帳戶名稱,都是服務受管帳戶。此服務受管帳戶 AWS 由 用來與 互動Active Directory。這些帳戶會在 AWS Directory Service Data 啟用時建立,且每個新 AWS 應用程式皆在 上獲得授權Active Directory。這些帳戶只能由 AWS 服務存取。
- krbtgt 帳戶密碼
-
krbtgt 帳戶在 AWS Managed Microsoft AD 使用的 Kerberos 票證交換中扮演重要角色。krbtgt 帳戶是用於 Kerberos 票證授予票證 (TGT) 加密的特殊帳戶,在 Kerberos 身分驗證通訊協定的安全性中扮演關鍵角色。如需詳細資訊,請參閱 Microsoft 文件
。 AWS 每 90 天會自動輪換 AWS Managed Microsoft AD 的 krbtgt 帳戶密碼兩次。每 90 天兩次連續輪換之間有 24 小時的等待期。
如需管理員帳戶和 建立的其他帳戶的詳細資訊Active Directory,請參閱 Microsoft 文件