管理员账户
如果您创建 AWS Directory Service for Microsoft Active Directory 目录,AWS 会创建组织部门 (OU) 来存储与 AWS 相关的所有组和账户。有关此 OU 的更多信息,请参阅 创建的内容。其中包括管理员账户。管理员账户有权对您的 OU 执行以下常见的管理活动:
-
添加、更新或删除用户、组和计算机。有关更多信息,请参阅在 AWS Managed Microsoft AD 中管理用户和组。
-
将资源添加到域 (如文件或打印服务器),然后为 OU 中的用户和组分配这些资源的权限.
-
创建额外的 OU 和容器.
-
委托授权.有关更多信息,请参阅管理您的 AWS Directory Service 资源的访问权限概述。
-
创建和链接组策略.
-
从 Active Directory 回收站还原删除的对象.
-
在 Active Directory Web 服务上运行 Active Directory 和 DNS Windows PowerShell 模块。
-
创建和配置组托管服务账户。有关更多信息,请参阅组托管服务账户。
-
配置 Kerberos 约束委托。有关更多信息,请参阅Kerberos 约束委托。
管理员账户还具有在域范围内进行以下活动的权限:
-
管理 DNS 配置 (添加、删除或更新记录、区域和转发服务器)
-
查看 DNS 事件日志
-
查看安全事件日志
仅允许管理员账户执行此处列出的操作。对于特定 OU 外部 (如在父 OU 上) 的任何目录相关操作,管理员账户也没有权限。
重要
AWS 域管理员对 AWS 上托管的所有域拥有完全管理访问权限。有关 AWS 如何处理 AWS 系统上存储的内容(包括目录信息)的更多信息,请参阅与 AWS 达成的协议以及 AWS 数据保护常见问题。
企业和域管理员特权账户
要执行操作管理您的目录,AWS 已独占控制管理员和域管理员权限的账户的企业。这包括独占控制 AD 管理员账户。AWS 通过使用密码库自动化密码管理,从而保护此账户。在自动轮换管理员密码时,AWS 会创建一个用户账户并授予其临时域管理员权限。此临时账户已用作备份在发生密码轮换故障的管理员账户。AWS 成功轮换管理员密码后,AWS 会删除临时管理员账户。
通过 AWS 目录通常完全自动化。如果自动化流程无法解决运营问题,AWS 可能需要有一个支持工程师登录到您的域控制器执行诊断。在这些极少数情况下,AWS 实施请求/通知系统来授予访问权限。在此过程中,AWS 自动化在您的目录中创建一个有限时间内具有域管理员权限的用户账户。AWS 将用户账户与指派的在您目录上工作的工程师相关联。AWS 在我们的日志系统中记录此管理,并为工程师提供相关凭据供其使用。工程师所采取的所有操作都记录在 Windows 事件日志中。当分配的时间到期后,自动化将删除用户账户。
您可以使用目录的日志转发功能监控管理账户的操作。利用此功能,您可以将 AD 安全事件转发到您的 CloudWatch 系统,您可以在其中实施监控解决方案。有关更多信息,请参阅 启用日志转发。