Amazon 托管的 Microsoft AD 管理员账户和群组权限 - Amazon Directory Service
企业和域管理员特权账户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 托管的 Microsoft AD 管理员账户和群组权限

在为 Microsoft A Amazon ctive Directory 目录 Amazon 创建目录服务时,会创建一个组织单位 (OU) 来存储所有 Amazon 相关的群组和帐户。有关此 OU 的更多信息,请参阅 随 Amazon Managed Microsoft AD 创建的内容。其中包括管理员账户。管理员账户有权对您的 OU 执行以下常见的管理活动:

  • 添加、更新或删除用户、组和计算机。有关更多信息,请参阅 Amazon 托管 Microsoft AD 中的用户和群组管理

  • 将资源添加到域 (如文件或打印服务器),然后为 OU 中的用户和组分配这些资源的权限。

  • 创建其他 OUs 和容器。

  • 委托其他容 OUs 器和容器的权限。有关更多信息,请参阅 为 Amazon Managed Microsoft AD 委派目录加入权限

  • 创建和链接组策略。

  • 从 Active Directory 回收站还原删除的对象。

  • 在 Active Directory Web 服务上运行 Active Directory 和 DNS PowerShell 模块。

  • 创建和配置组托管服务账户。有关更多信息,请参阅 组托管服务账户

  • 配置 Kerberos 约束委托。有关更多信息,请参阅 Kerberos 约束委托

管理员账户还具有在域范围内进行以下活动的权限:

  • 管理 DNS 配置(添加、删除或更新记录、区域和转发器)

  • 查看 DNS 事件日志

  • 查看安全事件日志

仅允许管理员账户执行此处列出的操作。对于特定 OU 外部 (如在父 OU 上) 的任何目录相关操作,管理员账户也没有权限。

注意事项

  • Amazon 域管理员对托管的所有域拥有完全的管理权限 Amazon。有关如何 Amazon 处理存储在 Amazon 系统上的内容(包括目录信息)的更多信息,请参阅您的协议 Amazon 和Amazon 数据保护常见问题解答。

  • 我们建议您不要删除或重命名此账户。如果您不再想使用该账户,建议您设置一个长密码(最多 64 个随机字符),然后禁用该账户。

注意

Amazon 拥有对域管理员和企业管理员特权用户和组的独占控制权。这允许 Amazon 对您的目录进行操作管理。

企业和域管理员特权账户

Amazon 每 90 天自动将内置管理员密码轮换为随机密码。每当要求使用内置的管理员密码供人类使用时,系统都会创建一张 Amazon 票证并记录在 Amazon Directory Service 团队中。账户凭证通过安全通道进行经过加密和处理。此外,管理员账户凭证只能由 Amazon Directory Service 管理团队申请。

要对您的目录进行操作管理, Amazon 必须拥有对具有企业管理员和域管理员权限的帐户的独占控制权。这包括对 Active Directory 管理员帐户的独家控制权。 Amazon 通过使用密码库自动管理密码,从而保护此帐户。在管理员密码的自动轮换过程中, Amazon 创建一个临时用户帐户并授予其域管理员权限。此临时账户已用作备份在发生密码轮换故障的管理员账户。 Amazon 成功轮换管理员密码后, Amazon 删除临时管理员帐户。

通常完全通过自动化 Amazon 操作目录。如果自动化过程无法解决操作问题,则 Amazon 可能需要让支持工程师登录您的域控制器 (DC) 进行诊断。在这些极少数情况下,会 Amazon 实施一个 request/notification 系统来授予访问权限。在此过程中, Amazon 自动化会在您的目录中创建一个具有域管理员权限的限时用户帐户。 Amazon 将用户帐户与被指派处理您的目录的工程师相关联。 Amazon 将这种关联记录在我们的日志系统中,并为工程师提供要使用的凭据。工程师所采取的所有操作都记录在 Windows 事件日志中。当分配的时间到期后,自动化将删除用户账户。

您可以使用目录的日志转发功能监控管理账户的操作。此功能使您能够将 AD Security 事件转发到您的 CloudWatch系统,在那里您可以实施监控解决方案。有关更多信息,请参阅 为 Amazon 托管 Microsoft AD 启用亚马逊 CloudWatch 日志转发

当有人以交互方式登录 DC 时,都会记录安全事件 IDs 4624、4672 和 4648。你可以在已加入域的 Windows 计算机上使用事件查看器 Microsoft 管理控制台 (MMC) 查看每个 DC 的 Windows 安全事件日志。您也可以将所有安全事件日志发送为 Amazon 托管 Microsoft AD 启用亚马逊 CloudWatch 日志转发到您账户中的 CloudWatch Logs。

您可能偶尔会看到在 Amazon 预留 OU 中创建和删除了用户。 Amazon 负责管理此 OU 以及我们未向您委托访问和管理权限的任何其他 OU 或容器中所有对象的管理和安全。您可能会看到该 OU 中创建和删除的内容。这是因为 Amazon Directory Service 使用自动化来定期轮换域管理员密码。轮换密码时会创建备份,以防轮换失败。轮换成功后,备份账户会自动删除。此外,在极少数情况下需要交互式访问 DCs 以进行故障排除,则会创建一个临时用户帐户供 Amazon Directory Service 工程师使用。工程师完成工作后,临时用户账户将被删除。请注意,每次为目录请求交互式凭证时,都会通知 Amazon Directory Service 管理团队。