管理员账户 - Amazon Directory Service
企业和域管理员特权帐户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理员账户

创建时Amazon用于 Microsoft Directory Service irectory 目录的目录,Amazon创建组织单位 (OU) 来存储所有Amazon相关组和账户。有关此 OU 的更多信息,请参阅 创建的内容。其中包括管理员账户。管理员账户有权对您的 OU 执行以下常见的管理活动:

管理员账户还具有在域范围内进行以下活动的权限:

  • 管理 DNS 配置(添加、删除或更新记录、区域和转发器)

  • 查看 DNS 事件日志

  • 查看安全事件日志

仅允许管理员账户执行此处列出的操作。对于特定 OU 外部 (如在父 OU 上) 的任何目录相关操作,管理员账户也没有权限。

重要

Amazon 域管理员对 Amazon 上托管的所有域拥有完全管理访问权限。请参阅您与的协议Amazon和Amazon数据保护有关如何进一步的信息Amazon处理存储在其上的内容,包括目录信息Amazon系统。

注意

我们建议您不要删除或重命名此账户。如果您不再想使用该账户,建议您设置一个长密码(最多 64 个随机字符),然后禁用该账户。

企业和域管理员特权帐户

Amazon每 90 天自动将内置的管理员密码轮换为随机密码。任何时候请求内置的管理员密码供人使用Amazon票证已创建并使用Amazon Directory Service团队。账户凭据通过安全渠道进行加密和处理。此外,管理员帐户凭据只能由Amazon Directory Service管理团队。

要对目录执行操作管理,Amazon拥有独占控制管理员和域管理员权限的账户的企业。这包括独占控制 AD 管理员账户。Amazon通过使用密码库自动化密码管理,从而保护此账户。在自动轮换管理员密码期间,Amazon创建一个临时用户账户并授予其域管理员权限。此临时账户已用作备份在发生密码轮换故障的管理员账户。晚于Amazon成功轮换管理员密码,Amazon删除临时管理员账户。

通常Amazon完全自动化操作目录。如果自动化流程无法解决运营问题,Amazon可能需要有一个支持工程师登录到您的域控制器 (DC) 执行诊断。在这些罕见的情况下,Amazon实施请求/通知系统来授予访问权限。在这个过程中,Amazon自动化在您目录中创建一个有限时间内具有域管理员权限的用户账户。Amazon将用户账户与指派的在您目录上工作的工程师相关联。Amazon在我们的日志系统中记录此关联,并为工程师提供相关凭据供其使用。工程师所采取的所有操作都记录在 Windows 事件日志中。当分配的时间到期后,自动化将删除用户账户。

您可以使用目录的日志转发功能监控管理账户的操作。利用此功能,您可以将 AD 安全事件转发到您的 CloudWatch 系统,您可以在其中实施监控解决方案。有关更多信息,请参阅 启用日志转发

当有人以交互方式登录 DC 时,安全事件 ID 4624、4672 和 4648 都会被记录。你可以使用事件查看器微软管理控制台 (MMC) 从加入域的 Windows 计算机上查看每个 DC 的 Windows 安全事件日志。您还可以启用日志转发将所有安全事件日志发送到账户中的 CloudWatch Logs。

您可能偶尔会看到在Amazon已保留 OU。Amazon负责管理此 OU 中的所有对象以及我们尚未向您授予访问和管理权限的任何其他 OU 或容器中的所有对象。你可能会在该 OU 中看到创作和删除。这是因为Amazon Directory Service定期使用自动化轮换域管理员密码。轮换密码时,轮换失败时,将创建备份。轮换成功后,备份帐户将自动删除。另外,如果出于故障排除目的需要对 DC 进行交互式访问的极少数情况,则会为Amazon Directory Service要使用的工程师。工程师完成工作后,临时用户帐户将被删除。请注意,每次为目录请求交互式凭据时,Amazon Directory Service管理团队收到通知。