AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

创建的内容

当您使用 AWS Managed Microsoft AD 创建目录时,AWS Directory Service 将代表您执行下列任务:

  • 在运行于两个域控制器上的 VPC 中设置 Active Directory,用于实现容错能力和高可用性。如果您需要更多域控制器,您可以在以后添加它们。有关更多信息,请参阅部署额外的域控制器

  • 创建 AWS 安全组,从而建立针对传入和传出域控制器的流量的网络筛选器。默认出站筛选器允许至任何目的地的所有流量。默认入站筛选器仅允许来自任何源的通过 Active Directory 所需端口的流量。由于您绝不会直接将 VPC 连接到 Internet,因此至域控制器的流量限制为来自您的 VPC 中的其他计算机、其他 VPC 或您已使用 VPC 对等连接 AWS Direct Connect 或虚拟专用网络连接进行连接的本地网络的流量。如果您尝试更改这些设置,请特别小心,因为您可能会破坏与域控制器通信的能力。有关端口要求的更多信息,请参阅AWS Managed Microsoft AD 先决条件

  • 使用用户名 Admin 和指定密码创建目录管理员账户。此账户位于 Users OU 下 (例如,Corp > Users)。您可以使用此账户管理 AWS 云中的目录。有关更多信息,请参阅管理员账户

    重要

    请务必保存此密码。AWS Directory Service 不会存储此密码,并且此密码无法检索。但是,您可以使用 ResetUserPassword API 重置密码。

  • 在域根目录下创建以下三个组织单位 (OU):

    OU 名称 描述

    AWS 委托组

    存储您可用于将 AWS 特定权限委派给用户的所有组。
    AWS 预留 存储所有 AWS 管理特定账户。
    <您的域名> 此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您未指定 NetBIOS 名称,则此名称将默认为您的目录 DNS 名称的第一部分(例如,如果目录 DNS 名称为 corp.example.com,则 NetBIOS 名称将为 corp)。此 OU 属于 AWS 并且包含您有权完全控制的所有 AWS 相关目录对象。默认情况下,此 OU 下存在两个子 OU:Computers 和 Users。例如:
    • Corp

      • Computers

      • Users

  • AWS Delegated Groups OU 中创建以下组:

    组名 描述
    AWS 账户委托操作员 此安全组的成员拥有有限的账户管理能力,如密码重置和解锁

    AWS 委派的基于 Active Directory 的激活管理员

    此安全组的成员可以创建 Active Directory 批量许可激活对象,这使企业能够通过与其域的连接激活计算机。

    AWS 在域中添加工作站的委托用户 此安全组的成员可将 10 台计算机加入域
    AWS 委托管理员 此安全组的成员可以管理 AWS Managed Microsoft AD,对您的 OU 中的所有对象拥有完全控制权,可以管理 AWS 委托组 OU 中包含的组。

    AWS 委派的删除对象生命周期管理员

    此安全组的成员可以修改 msDS-DeletedObjectLifetime 对象,它定义了已删除对象可保留在 AD 回收站中以供还原的时长。

    AWS 分布式文件系统委托管理员 此安全组的成员可以添加和删除 FRS、DFS-R 和 DFS 命名空间
    AWS 域名系统委托管理员 此安全组的成员可以管理集成了 Active Directory 的 DNS
    AWS 动态主机配置协议委托管理员 此安全组的成员可以对企业中的 Windows DHCP 服务器进行授权
    AWS 企业证书颁发机构委托管理员 此安全组的成员可以部署和管理 Microsoft 企业证书颁发机构基础设施
    AWS 精细密码策略委托管理员 此安全组的成员可以修改提前创建的精细密码策略
    AWS 组策略委托管理员 此安全组的成员可以执行组策略管理任务 (创建、编辑、删除、链接)
    AWS Kerberos 委托管理员 此安全组的成员可以针对计算机和用户账户对象启用委托
    AWS 托管服务账户委托管理员 此安全组的成员可以创建和删除托管服务账户
    AWS 远程访问服务委托管理员 此安全组的成员可以添加和删除 RAS 和 IAS 服务器组中的 RAS 服务器
    AWS 复制目录变更委托管理员 此安全组的成员可以将 Active Directory 中的个人资料信息与 SharePoint Server 进行同步
    AWS 服务器委托管理员 此安全组的成员包含在所有加入域的计算机的本地管理员组中
    AWS 站点和服务委托管理员 此安全组的成员可以重命名 Active Directory 站点和服务中的 Default-First-Site-Name 对象

    AWS 委派的系统管理员

    此安全组的成员可以创建和管理系统管理容器中的对象。

    AWS 终端服务器许可委托管理员 此安全组的成员可以在终端服务器许可服务器组中添加和删除终端服务器许可服务器
    AWS 用户委托人名称后缀委托管理员 此安全组的成员可以添加和删除用户委托人名称后缀