随 Amazon Managed Microsoft AD 创建的内容 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

随 Amazon Managed Microsoft AD 创建的内容

当你创建 Active Directory 使用 Amazon 托管 Microsoft AD,代表你 Amazon Directory Service 执行以下任务:

  • 自动创建弹性网络接口(ENI)并将其与每个域控制器相关联。它们中的每一个都对您 ENIs 的 VPC 和 Amazon Directory Service 域控制器之间的连接至关重要,切勿将其删除。您可以 Amazon Directory Service 通过描述来标识所有保留供使用的网络接口:“为目录目录 ID Amazon 创建的网络接口”。有关更多信息,请参阅 Amazon EC2 用户指南中的弹性网络接口。 Amazon 托管微软 AD 的默认 DNS 服务器 Active Directory 是处于无类域间路由 (CIDR) +2 的 VPC DNS 服务器。有关更多信息,请参阅《Amazon VPC 用户指南》中的 Amazon DNS 服务器

    注意

    默认情况下,域控制器部署在一个区域的两个可用区,并连接到您的 Amazon VPC(VPC)。每天自动备份一次,且加密 Amazon EBS(EBS)卷以确保静态数据的安全。出现故障的域控制器会在同一可用区中使用相同的 IP 地址自动替换,并且可以使用最新的备份执行完全灾难恢复。

  • 条款 Active Directory 在您的 VPC 内使用两个域控制器实现容错和高可用性。在成功创建目录且目录处于活动状态后,可以预置更多域控制器以获得更高的恢复能力和性能。有关更多信息,请参阅 为 Amazon Managed Microsoft AD 部署额外的域控制器

    注意

    Amazon 不允许在 Amazon 托管的 Microsoft AD 域控制器上安装监控代理。

  • 创建Amazon 安全组sg-1234567890abcdef0,为进出域控制器的流量制定网络规则。默认出站规则允许所有流量流向所有 IPv4 地址。默认的入站规则仅允许流量通过所需的端口 Active Directory 来自与您的 IPv4 Amazon 托管 Microsoft AD 的 VPC 托管关联的主网段。为了提高安全性 ENIs ,创建的没有 IPs附加弹性,您也无权将弹性 IP 附加到这些服务器 ENIs。因此,默认情况下,唯一可以与您的 Amazon 托管 Microsoft AD 通信的入站流量是本地 VPC。您可以更改安全组规则以允许其他流量来源,例如来自其他对等设备 VPCs 或通过 VPN CIDRs 访问的其他流量来源。如果您尝试更改这些规则,请特别小心,因为您可能会破坏与域控制器通信的能力。有关更多信息,请参阅Amazon Managed Microsoft A增强 Manage Amazon d Microsoft AD 网络安全配置

    您可以使用前缀列表在安全组规则中管理您的 CIDR 块。前缀列表使管理和配置安全组和路由表变得更加容易。您可以整合具有相同端口和协议的多个 CIDR 块,以扩展您的网络流量。

    • 在一个 Windows 环境中,客户端通常通过服务器消息块 (SMB) 或端口 445 进行通信。该协议促进了各种操作,例如文件和打印机共享以及常规网络通信。你将在端口 445 上看到客户端流向 Amazon 托管 Microsoft AD 域控制器的管理接口。

      当中小型企业客户依赖 DNS(端口 53)和 NetBIOS(端口 138)名称解析来查找您的 Amazon 托管微软 AD 域资源时,就会出现这种流量。在查找域资源时,这些客户端会被定向到域控制器上的任何可用接口。这种行为是预料之中的,并且通常发生在具有多个网络适配器的环境中,SMB Multichannel 允许客户端通过不同的接口建立连接以增强性能和冗余。

    默认情况下会创建以下 Amazon 安全组规则:

    入站规则

    协议 端口范围 来源 流量的类型 Active Directory 使用情况
    ICMP 不适用 Amazon 托管微软 AD VPC IPv4 CIDR Ping LDAP 保持活动,DFS
    TCP 和 UDP 53 Amazon 托管微软 AD VPC IPv4 CIDR DNS 用户和计算机身份验证、名称解析、信任
    TCP 和 UDP 88 Amazon 托管微软 AD VPC IPv4 CIDR Kerberos 用户和计算机身份验证、林级信任
    TCP 和 UDP 389 Amazon 托管微软 AD VPC IPv4 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
    TCP 和 UDP 445 Amazon 托管微软 AD VPC IPv4 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略、信任
    TCP 和 UDP 464 Amazon 托管微软 AD VPC IPv4 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
    TCP 135 Amazon 托管微软 AD VPC IPv4 CIDR 复制 RPC、EPM
    TCP 636 Amazon 托管微软 AD VPC IPv4 CIDR LDAP SSL 目录、复制、用户和计算机身份验证、组策略、信任
    TCP 1024-65535 Amazon 托管微软 AD VPC IPv4 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
    TCP 3268 - 3269 Amazon 托管微软 AD VPC IPv4 CIDR LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证、组策略、信任
    UDP 123 Amazon 托管微软 AD VPC IPv4 CIDR Windows 时间 Windows 时间、信任
    UDP 138 Amazon 托管微软 AD VPC IPv4 CIDR DFSN 和 NetLogon DFS、组策略
    全部 全部 Amazon 为域控制器创建了安全组 (sg-1234567890abcdef0) 所有流量

    出站规则

    协议 端口范围 目标 流量的类型 Active Directory 使用情况
    全部 全部 0.0.0.0/0 所有流量

  • 有关使用的端口和协议的更多信息 Active Directory,请参阅中的 Windows 服务概述和网络端口要求 Microsoft 文档中)。

  • 使用用户名 Admin 和指定密码创建目录管理员账户。此账户位于 Users OU (例如,“公司” > “用户”)。您可以使用此帐户在中管理您的目录 Amazon Web Services 云。有关更多信息,请参阅 Amazon 托管的 Microsoft AD 管理员账户和群组权限

    重要

    请务必保存此密码。 Amazon Directory Service 不存储此密码,也无法找回。但是,您可以通过 Amazon Directory Service 控制台或使用 ResetUserPasswordAPI 重置密码。

  • 在域根目录下创建以下三个组织单位 (OUs):

    OU 名称 描述

    Amazon Delegated Groups

    		 存储所有可用于向用户委派 Amazon 特定权限的群组。
    Amazon Reserved 存储所有特定于 Amazon 管理的账户。
    <您的域名> 此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您未指定 NetBIOS 名称,则此名称将默认为您的目录 DNS 名称的第一部分(例如,如果目录 DNS 名称为 corp.example.com,则 NetBIOS 名称将为 corp)。此 OU 归所有 Amazon 并包含您所有 Amazon相关的目录对象,您被授予对这些对象的完全控制权。默认情况下,此 OU 下 OUs 有两个子项:“计算机” 和 “用户”。例如:

    • Corp

      • Computers

      • Users

  • 在中创建以下群组 Amazon Delegated Groups OU:

    组名 描述
    Amazon Delegated Account Operators 此安全组的成员拥有有限的账户管理能力,如密码重置

    Amazon Delegated Active Directory Based Activation Administrators

    此安全组的成员可以创建 Active Directory 批量许可激活对象,这使企业能够通过与其域的连接激活计算机。
    Amazon Delegated Add Workstations To Domain Users 此安全组的成员可将 10 台计算机加入域中。
    Amazon Delegated Administrators 该安全组的成员可以 Amazon 管理托管 Microsoft AD,完全控制组织单位中的所有对象,并可以管理包含在 OU 中的组 Amazon Delegated Groups OU.
    Amazon Delegated Allowed to Authenticate Objects 该安全组的成员能够对中的计算机资源进行身份验证 Amazon Reserved OU (仅启用了选择性身份验证的本地对象信任才需要)。
    Amazon Delegated Allowed to Authenticate to Domain Controllers 该安全组的成员能够对中的计算机资源进行身份验证 Domain Controllers OU (仅启用了选择性身份验证的本地对象信任才需要)。

    Amazon Delegated Deleted Object Lifetime Administrators

    该安全组的成员可以修改 msDS-DeletedObjectLifetime 对象,它定义了已删除的对象可以从 AD 回收站中恢复多长时间。
    Amazon Delegated Distributed File System Administrators 此安全组的成员可以添加和删除 FRS、DFS-R 和 DFS 命名空间。
    Amazon Delegated Domain Name System Administrators 此安全组的成员可以管理与 Active Directory 集成的 DNS。
    Amazon Delegated Dynamic Host Configuration Protocol Administrators 此安全组的成员可以对企业中的 Windows DHCP 服务器进行授权。
    Amazon Delegated Enterprise Certificate Authority Administrators 此安全组的成员可以部署和管理 Microsoft 企业证书颁发机构基础设施。
    Amazon Delegated Fine Grained Password Policy Administrators 此安全组的成员可以修改预先创建的精细密码策略。
    Amazon Delegated FSx Administrators 该安全组的成员可以管理 Amazon FSx 资源。
    Amazon Delegated Group Policy Administrators 此安全组的成员可以执行组策略管理任务(创建、编辑、删除、链接)。
    Amazon Delegated Kerberos Delegation Administrators 此安全组的成员可以针对计算机和用户账户对象启用委托。
    Amazon Delegated Managed Service Account Administrators 此安全组的成员可以创建和删除托管服务账户。
    Amazon Delegated MS-NPRC Non-Compliant Devices 该安全组的成员将被排除在与域控制器进行安全通道通信的要求之外。此组适用于计算机账户。
    Amazon Delegated Remote Access Service Administrators 此安全组的成员可以添加和删除 RAS 和 IAS 服务器组中的 RAS 服务器。
    Amazon Delegated Replicate Directory Changes Administrators 该安全组的成员可以将 Active Directory 中的配置文件信息与 SharePoint 服务器同步。
    Amazon Delegated Server Administrators 此安全组的成员包含在所有加入域的计算机的本地管理员组中。
    Amazon Delegated Sites and Services Administrators 该安全组的成员可以在 Active Directory 网站和服务中重命名该 Default-First-Site-Name对象。
    Amazon Delegated System Management Administrators 此安全组的成员可以创建和管理系统管理容器中的对象。
    Amazon Delegated Terminal Server Licensing Administrators 此安全组的成员可以在终端服务器许可服务器组中添加和删除终端服务器许可服务器。
    Amazon Delegated User Principal Name Suffix Administrators 此安全组的成员可以添加和删除用户委托人名称后缀。
    注意

    你可以添加到这些 Amazon Delegated Groups.

  • 创建并应用以下组策略对象 (GPOs):

    注意

    您无权删除、修改或解除这些 GPOs内容的链接。这是设计使然,因为它们是保留供 Amazon 使用的。如果需要,您可以将它们链接 OUs 到您控制的对象。

    组策略名称 适用于 描述
    Default Domain Policy 包括域密码和 Kerberos 策略。
    ServerAdmins 所有非域控制器计算机账户 添加 'Amazon Delegated Server Administrators' 作为其中的一员 BUILTIN\Administrators Group.
    Amazon Reserved Policy:User Amazon Reserved user accounts 为所有用户帐户设置建议的安全设置 Amazon Reserved OU.
    Amazon Managed Active Directory Policy 所有域控制器 在所有域控制器上设置建议的安全设置。
    TimePolicyNT5DS 所有非 PDCe 域控制器 将所有非 PDCe 域控制器的时间策略设置为使用 Windows 时间 (NT5DS)。
    TimePolicyPDC PDCe 域控制器 将 PDCe 域控制器的时间策略设置为使用网络时间协议 (NTP)。
    Default Domain Controllers Policy 未使用 在创建域时进行配置,使用 Amazon 托管 Active Directory 策略代替它。

    如果要查看每个 GPO 的设置,可以从启用了组策略管理控制台(GPMC)的加入域的 Windows 实例中查看它们。

  • 创建以下内容 default local accounts 对于 Amazon 托管微软 AD 管理:

    重要

    请务必保存管理员密码。 Amazon Directory Service 不存储此密码,也无法找回。但是,您可以通过 Amazon Directory Service 控制台或使用 ResetUserPasswordAPI 重置密码

    Admin

    这些区域有:Admin 是 directory administrator account 在首次创建 Amazon 托管 Microsoft AD 时创建。在创建 Amazon 托管 Microsoft AD 时,您需要为此帐户提供密码。此账户位于 Users OU (例如,“公司” > “用户”)。你使用这个账户来管理你的 Active Directory 在 Amazon。有关更多信息,请参阅 Amazon 托管的 Microsoft AD 管理员账户和群组权限

    Amazon_11111111111

    任何以开头 Amazon 后跟下划线并位于 Amazon Reserved OU 是一个服务管理账户。此服务管理账户用于与之 Amazon 交互 Active Directory。 这些帐户是在启用 Amazon Directory Service Data 且每个新 Amazon 应用程序都已启用时创建的 Active Directory。 这些账户只能通过 Amazon 服务访问。

    krbtgt account

    这些区域有:krbtgt account 在你的托管 Amazon Microsoft AD 使用的 Kerberos 票证交换中起着重要作用。这些区域有:krbtgt account 是用于 Kerberos 票证授予票证 (TGT) 加密的特殊帐户,它在 Kerberos 身份验证协议的安全性中起着至关重要的作用。有关更多信息,请参阅 Microsoft 文档

    Amazon 自动旋转 krbtgt account 每 90 天为你的 Amazon 托管 Microsoft AD 设置两次密码。每 90 天连续两次轮换之间有 24 小时的等待期。

有关管理员账户和由创建的其他账户的更多信息 Active Directory,请参阅 Microsoft 文档