管理员账户
如果您创建 AWS Directory Service for Microsoft Active Directory 目录,AWS 会创建组织部门 (OU) 来存储与 AWS 相关的所有组和账户。有关此 OU 的更多信息,请参阅 创建的内容。其中包括管理员账户。管理员账户有权对您的 OU 执行以下常见的管理活动:
-
添加、更新或删除用户、组和计算机。有关更多信息,请参阅向 AWS Managed Microsoft AD 中添加用户和组。
-
将资源添加到域 (如文件或打印服务器),然后为 OU 中的用户和组分配这些资源的权限.
-
创建额外的 OU 和容器.
-
委托授权.有关更多信息,请参阅管理您的 AWS Directory Service 资源的访问权限概述。
-
创建和链接组策略.
-
从 Active Directory 回收站还原删除的对象.
-
在 Active Directory Web 服务上运行 Active Directory 和 DNS Windows PowerShell 模块。
-
创建和配置组托管服务账户。有关更多信息,请参阅组托管服务账户。
-
配置 Kerberos 约束委托。有关更多信息,请参阅Kerberos 约束委托。
管理员账户还具有在域范围内进行以下活动的权限:
-
管理 DNS 配置 (添加、删除或更新记录、区域和转发服务器)
-
查看 DNS 事件日志
-
查看安全事件日志
仅允许管理员账户执行此处列出的操作。对于特定 OU 外部 (如在父 OU 上) 的任何目录相关操作,管理员账户也没有权限。
重要
AWS 域管理员对 AWS 上托管的所有域拥有完全管理访问权限。有关 如何处理 系统上存储的内容(包括目录信息)的更多信息,请参阅与 达成的协议以及 数据保护常见问题。