本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Managed Microsoft AD 建立的內容
當您建立 Active Directory 使用 AWS Managed Microsoft AD,代表您 AWS Directory Service 執行下列任務:
-
自動建立彈性網路介面 (ENI) 並與您的每個網域控制器建立關聯。這些對於您的 VPC和 AWS Directory Service 網域控制站之間的連線ENIs至關重要,而且絕對不應刪除。您可以透過 AWS Directory Service 描述識別保留給 使用的所有網路介面:「為 directory-idAWS 建立網路介面」。如需詳細資訊,請參閱《Amazon EC2使用者指南》中的彈性網路介面。 AWS Managed Microsoft AD 的預設DNS伺服器 Active Directory 是無類別網域間路由 (CIDR)+2 的VPCDNS伺服器。如需詳細資訊,請參閱《Amazon 使用者指南》中的 Amazon DNS 伺服器。 VPC
注意
根據預設,網域控制站會部署在一個區域中的兩個可用區域,並連接到您的 Amazon VPC(VPC)。備份每天會自動執行一次,Amazon EBS(EBS) 磁碟區會加密,以確保靜態資料的安全。一旦域控制站發生故障,將在同一可用區域中使用相同的 IP 地址自動替換,並且可以透過最新的備份執行完整的災難復原。
-
佈建 Active Directory VPC 使用兩個網域控制站來提供容錯能力和高可用性。目錄已成功建立且處於作用中狀態後,便可佈建更多的網域控制器,以取得更高的彈性和效能。如需詳細資訊,請參閱部署 AWS Managed Microsoft AD 的其他網域控制器。
注意
AWS 不允許在 AWS Managed Microsoft AD 網域控制站上安裝監控代理程式。
-
建立AWS 安全群組
sg-1234567890abcdef0
,為傳入和傳出網域控制站的流量建立網路規則。預設傳出規則允許連接到已建立 AWS 安全群組的所有流量ENIs或執行個體。預設傳入規則僅允許透過 所需的連接埠的流量 Active Directory 從 AWS Managed Microsoft AD VPC CIDR 的 。這些規則不會引入安全漏洞,因為流向網域控制站的流量僅限於來自 VPC、來自其他對等 VPCs或來自您已使用 AWS Direct Connect、 AWS Transit Gateway 或虛擬私有網路連線之網路的流量。為了提高安全性,建立ENIs的 不會IPs連接彈性,而且您沒有將彈性 IP 連接至這些 的許可ENIs。因此,唯一可以與您的 AWS Managed Microsoft AD 通訊的傳入流量是本機VPC和VPC路由流量。您可以變更 AWS 安全群組規則。嘗試變更這些規則時請格外小心,因為這樣可能會破壞您與網域控制器之間的通訊能力。如需詳細資訊,請參閱 AWS 受管 Microsoft AD 最佳實務 和 增強 AWS Managed Microsoft AD 網路安全組態。-
在 中 Windows 環境,用戶端通常會透過伺服器訊息區塊 (SMB)
或連接埠 445 進行通訊。此通訊協定有助於各種動作,例如檔案和印表機共用和一般網路通訊。您會在連接埠 445 上看到用戶端流量到 AWS Managed Microsoft AD 網域控制器的管理介面。 當SMB用戶端依賴 DNS(連接埠 53) 和 NetBIOS (連接埠 138) 名稱解析來尋找 AWS Managed Microsoft AD 網域資源時,就會發生此流量。在尋找網域資源時,這些用戶端會導向網域控制站上任何可用的界面。此行為是預期的,通常發生在具有多個網路轉接器的環境中,其中SMB多通道
允許用戶端在不同介面之間建立連線,以提高效能和備援。
預設會建立下列 AWS 安全群組規則:
傳入規則
通訊協定 連接埠範圍 來源 流量類型 Active Directory 用量 ICMP N/A AWS 受管 Microsoft AD VPC IPv4 CIDR Ping LDAP 保持運作、 DFS TCP & UDP 53 AWS 受管 Microsoft AD VPC IPv4 CIDR DNS 使用者和電腦身分驗證、名稱解析、信任 TCP & UDP 88 AWS 受管 Microsoft AD VPC IPv4 CIDR Kerberos 使用者和電腦身分驗證、森林層級信任 TCP & UDP 389 AWS 受管 Microsoft AD VPC IPv4 CIDR LDAP 目錄、複寫、使用者和電腦身分驗證群組政策、信任 TCP & UDP 445 AWS 受管 Microsoft AD VPC IPv4 CIDR SMB / CIFS 複寫、使用者和電腦身分驗證、群組政策、信任 TCP & UDP 464 AWS 受管 Microsoft AD VPC IPv4 CIDR Kerberos 更改/設定密碼 複寫、使用者和電腦身分驗證、信任 TCP 135 AWS 受管 Microsoft AD VPC IPv4 CIDR 複寫 RPC, EPM TCP 636 AWS 受管 Microsoft AD VPC IPv4 CIDR LDAP SSL 目錄、複寫、使用者和電腦身分驗證、群組政策、信任 TCP 1024-65535 AWS 受管 Microsoft AD VPC IPv4 CIDR RPC 複寫、使用者和電腦身分驗證、群組政策、信任 TCP 3268-3269 AWS 受管 Microsoft AD VPC IPv4 CIDR LDAP GC 和 LDAP GC SSL 目錄、複寫、使用者和電腦身分驗證、群組政策、信任 UDP 123 AWS 受管 Microsoft AD VPC IPv4 CIDR Windows 時間 Windows 時間、信任 UDP 138 AWS 受管 Microsoft AD VPC IPv4 CIDR DFSN & NetLogon DFS,群組政策 全部 全部 AWS 為網域控制站 ( sg-1234567890abcdef0
) 建立安全群組所有流量 傳出規則
通訊協定 連接埠範圍 目的地 流量類型 Active Directory 用量 全部 全部 0.0.0.0/0 所有流量 -
-
如需 所使用的連接埠和通訊協定的詳細資訊 Active Directory,請參閱 中的 Windows 的服務概觀和網路連接埠需求
Microsoft 文件中)。 -
建立含有使用者名稱 Admin 與指定密碼的目錄管理員帳戶。此帳戶位於使用者 OU 下 (例如公司 > 使用者)。您可以使用此帳戶在 AWS 雲端中管理目錄。如需詳細資訊,請參閱AWS Managed Microsoft AD Administrator 帳戶許可。
重要
請務必儲存此密碼。 AWS Directory Service 不會儲存此密碼,而且無法擷取。不過,您可以從 AWS Directory Service 主控台或使用 ResetUserPassword 來重設密碼API。
-
在網域根下建立下列三個組織單位 (OUs):
OU 名稱 描述 AWS 委派的群組
存放所有群組,您可以使用這些群組將 AWS 特定許可委派給使用者。 AWS 預留 存放所有 AWS 管理特定帳戶。 <yourdomainname> 此 OU 的名稱是根據您在建立目錄時輸入的 NetBIOS 名稱。如果您未指定 NetBIOS 名稱,它會預設為目錄DNS名稱的第一部分 (例如,在 corp.example.com 中,NetBIOS 名稱會是 corp)。此 OU 為 所擁有 AWS ,並包含您所有 AWS相關的目錄物件,而您已獲得其完整控制。根據預設,此 OU 下OUs有兩個子項;電腦和使用者。例如: -
公司
-
電腦
-
使用者
-
-
-
在 AWS 委派群組 OU 中建立下列群組:
Group name (群組名稱) 描述 AWS 委派的帳戶運算子 此安全群組的成員具備有限的帳戶管理功能,例如密碼重設 AWS 委派的 Active Directory 型啟用管理員
此權限安全群組成員可以建立 Active Directory 大量授權啟用物件,以便企業透過網域連線來啟用電腦。
AWS 委派將工作站新增至網域使用者 此安全群組的成員可以將 10 部電腦加入網域。 AWS 委派管理員 此安全群組的成員可以管理 AWS Managed Microsoft AD、完全控制 OU 中的所有物件,以及管理 AWS 委派群組 OU 中包含的群組。 AWS 允許委派來驗證物件 此安全群組的成員可以對 AWS 預留 OU 中的電腦資源進行身分驗證 (僅對啟用選擇性身分驗證信任的現場部署物件需要)。 AWS 允許驗證網域控制器的委派 此安全性群組的成員可以對網域控制器 OU 中的電腦資源進行驗證 (只有已啟用選擇性身分驗證信任的內部部署物件才需要)。 AWS 委派的已刪除物件存留期管理員
此安全群組的成員可以修改 msDS-DeletedObjectLifetime 物件,這會定義已刪除物件從 AD 回收筒中復原的可用時間。
AWS 委派的分散式檔案系統管理員 此安全群組的成員可以新增和移除 FRS、DFS-R 和DFS命名空間。 AWS 委派網域名稱系統管理員 此安全群組的成員可以管理 Active Directory 整合的 DNS。 AWS 委派的動態主機組態通訊協定管理員 此安全群組的成員可以授權企業中的 Windows DHCP 伺服器。 AWS 委派的企業憑證授權機構管理員 此安全群組的成員可以部署及管理 Microsoft 企業憑證授權機構基礎設施。 AWS 委派的精細分割密碼政策管理員 此安全群組的成員可以修改預先建立的微調密碼政策。 AWS 委派FSx管理員 此安全群組的成員能夠管理 Amazon FSx 資源。 AWS 委派的群組政策管理員 此安全群組的成員可以執行群組政策管理任務 (建立、編輯、刪除、連結)。 AWS 委派 Kerberos 委派管理員 此安全群組的成員可以在電腦和使用者帳戶物件上啟用委派。 AWS 委派的受管服務帳戶管理員 此安全群組的成員可以建立及刪除受管服務帳戶。 AWS 委派的 MSNPRC 不合規裝置 此安全群組的成員將被排除在需要與域控制站進行安全通道通訊的範圍之外。此群組用於電腦帳戶。 AWS 委派的遠端存取服務管理員 此安全群組的成員可以從 和 RAS 伺服器群組新增RAS和移除IAS伺服器。 AWS 委派的複寫目錄變更管理員 此安全群組的成員可以將 Active Directory 中的設定檔資訊與 SharePoint 伺服器同步。 AWS 委派的伺服器管理員 所有加入網域之電腦上的本機管理員群組中都包含此安全群組的成員。 AWS 委派的網站和服務管理員 此安全群組的成員可以在 Active Directory 網站和服務中重新命名 Default-First-Site-Name物件。 AWS 委派的系統管理員 此權限安全群組成員可以在系統管理容器中建立並管理物件。 AWS 委派的終端機伺服器授權管理員 此安全群組的成員可以在終端機伺服器的授權伺服器群組中新增及移除終端機伺服器的授權伺服器。 AWS 委派的使用者主體名稱尾碼管理員 此安全群組的成員可以新增及移除使用者主體名稱尾碼。 注意
您可以將 新增至這些 AWS 委派群組。
-
建立並套用下列群組政策物件 (GPOs):
注意
您沒有刪除、修改或取消連結這些 的許可GPOs。這是根據設計,因為它們是保留供 AWS 使用。如有需要OUs,您可以將它們連結到您控制的項目。
群組政策名稱 適用對象 描述 預設網域政策 網域 包含網域密碼和 Kerberos 政策。 ServerAdmins 所有非網域控制器電腦帳戶 將「AWS 委派伺服器管理員」新增為 BUILTIN\管理員群組的成員。 AWS 預留政策:使用者 AWS 預留使用者帳戶 在 AWS 預留 OU 中的所有使用者帳戶上設定建議的安全設定。 AWS 受管 Active Directory 政策 所有網域控制器 在所有網域控制器上設定建議的安全性設定。 TimePolicyNT5DS 所有非PDCe網域控制站 將所有非PDCe網域控制站時間政策設定為使用 Windows Time (NT5DS)。 TimePolicyPDC PDCe 網域控制器 將PDCe網域控制器的時間政策設定為使用網路時間通訊協定 (NTP)。 預設網域控制站政策 未使用 受 AWS 管 Active Directory 政策會在網域建立期間佈建,以取代它。 如果您想要查看每個 的設定GPO,您可以從已啟用群組政策管理主控台 (GPMC)
的加入 Windows 執行個體的網域檢視這些設定。 -
為 AWS Managed Microsoft AD 管理建立下列預設本機帳戶:
重要
請務必儲存 admin password。 AWS Directory Service 不會儲存此密碼,而且無法擷取。不過,您可以從 AWS Directory Service 主控台或使用 ResetUserPassword 重設密碼API。
- 管理員
-
admin 是第一次建立 AWS Managed Microsoft AD 時建立的目錄管理員帳戶。您在建立 AWS Managed Microsoft AD 時提供此帳戶的密碼。此帳戶位於使用者 OU 下 (例如公司 > 使用者)。您可以使用此帳戶來管理 Active Directory 在 中 AWS。如需詳細資訊,請參閱AWS Managed Microsoft AD Administrator 帳戶許可。
- AWS_
11111111111
-
任何以 開頭, AWS 後面接著底線且位於 AWS 預留 OU 的帳戶名稱,都是服務受管帳戶。此服務受管帳戶由 用來與 AWS 互動 Active Directory。 這些帳戶會在 AWS Directory Service Data 啟用時建立,且每個新 AWS 應用程式都授權於 Active Directory。 這些帳戶只能由 AWS 服務存取。
- krbtgt 帳戶密碼
-
krbtgt 帳戶在 AWS Managed Microsoft AD 使用的 Kerberos 票證交換中扮演重要角色。krbtgt 帳戶是用於 Kerberos 票證授予票證 (TGT) 加密的特殊帳戶,在 Kerberos 身分驗證通訊協定的安全性中扮演關鍵角色。如需詳細資訊,請參閱 Microsoft 文件
。 AWS 每 90 天會自動輪換 AWS Managed Microsoft AD 的 krbtgt 帳戶密碼兩次。每 90 天兩次連續輪換之間有 24 小時的等待期。
如需管理員帳戶和 建立的其他帳戶的詳細資訊 Active Directory,請參閱 Microsoft 文件