创建的内容 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

创建的内容

当您使用 Amazon Managed Microsoft AD 创建目录时,Amazon Directory Service 将代表您执行下列任务:

  • 自动创建弹性网络接口(ENI)并将其与每个域控制器相关联。其中每个 ENI 对于您的 VPC 与 Amazon Directory Service 域控制器之间的连接都至关重要,绝不应删除。您可以通过以下描述识别保留用于 Amazon Directory Service 的所有网络接口:“Amazon 为目录 directory-id 创建的网络接口”。有关更多信息,请参阅《Amazon EC2 Windows 实例用户指南》中的弹性网络接口

    注意

    默认情况下,域控制器部署在一个区域的两个可用区,并连接到您的 Amazon 虚拟私有云(VPC)。每天自动备份一次,且加密 Amazon Elastic Block Store(EBS)卷以确保静态数据的安全。出现故障的域控制器会在同一可用区中使用相同的 IP 地址自动替换,并且可以使用最新的备份执行完全灾难恢复。

  • 使用两个域控制器在 VPC 中预置 Active Directory,以实现容错和高可用性。在成功创建目录且目录处于活动状态后,可以预置更多域控制器以获得更高的恢复能力和性能。有关更多信息,请参阅 部署额外的域控制器

    注意

    Amazon 不允许在 Amazon Managed Microsoft AD 域控制器上安装监控代理。

  • 创建 Amazon 安全组,从而建立针对传入和传出域控制器的流量的网络规则。默认出站规则允许所有流量 ENI 或实例连接到创建的 Amazon 安全组。默认入站规则仅允许来自任何源的通过 Active Directory 所需端口的流量 (0.0.0.0/0)。0.0.0.0/0 规则不会引入安全漏洞,因为到域控制器的流量仅限来自您的 VPC、来自其他对等 VPC 或来自您使用 Amazon Direct Connect、Amazon 中转网关或虚拟专用网络连接的网络的流量。为了提高安全性,创建的 ENI 没有连接弹性 IP,并且您不拥有将弹性 IP 连接到这些 ENI 的权限。因此,唯一可与 Amazon Managed Microsoft AD 通信的入站流量是本地 VPC 和 VPC 路由流量。如果您尝试更改这些规则,请特别小心,因为您可能会破坏与域控制器通信的能力。有关更多信息,请参阅 Amazon Managed Microsoft AD 最佳实践。默认情况下,会创建以下 Amazon 安全组规则:

    入站规则

    协议 端口范围 流量的类型 Active Directory 使用情况
    ICMP 不适用 0.0.0.0/0 Ping LDAP 保持活动,DFS
    TCP 和 UDP 53 0.0.0.0/0 DNS 用户和计算机身份验证、名称解析、信任
    TCP 和 UDP 88 0.0.0.0/0 Kerberos 用户和计算机身份验证、林级信任
    TCP 和 UDP 389 0.0.0.0/0 LDAP 目录、复制、用户和计算机身份验证组策略、信任
    TCP 和 UDP 445 0.0.0.0/0 SMB / CIFS 复制、用户和计算机身份验证、组策略、信任
    TCP 和 UDP 464 0.0.0.0/0 Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
    TCP 135 0.0.0.0/0 复制 RPC、EPM
    TCP 636 0.0.0.0/0 LDAP SSL 目录、复制、用户和计算机身份验证、组策略、信任
    TCP 1024-65535 0.0.0.0/0 RPC 复制、用户和计算机身份验证、组策略、信任
    TCP 3268 - 3269 0.0.0.0/0 LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证、组策略、信任
    UDP 123 0.0.0.0/0 Windows 时间 Windows 时间、信任
    UDP 138 0.0.0.0/0 DFSN 和 NetLogon DFS、组策略
    全部 全部 sg-################## 所有流量

    出站规则

    协议 端口范围 目标位置 流量的类型 Active Directory 使用情况
    全部 全部 sg-################## 所有流量
  • 有关 Active Directory 使用的端口和协议的更多信息,请参阅 Microsoft 文档中的 Windows 服务概述和网络端口要求

  • 使用用户名 Admin 和指定密码创建目录管理员账户。此账户位于 Users OU 下 (例如,Corp > Users)。您可以使用此账户管理 Amazon 云中的目录。有关更多信息,请参阅 管理员账户

    重要

    请务必保存此密码。Amazon Directory Service 不会存储此密码,并且此密码无法检索。但是,您可以通过 Amazon Directory Service 控制台或使用 ResetUserPassword API 重置密码。

  • 在域根目录下创建以下三个组织单位 (OU):

    OU 名称 描述

    Amazon 委托组

    存储您可用于将 Amazon 特定权限委派给用户的所有组。
    Amazon 预留 存储所有 Amazon 管理特定账户。
    <您的域名> 此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您未指定 NetBIOS 名称,则此名称将默认为您的目录 DNS 名称的第一部分(例如,如果目录 DNS 名称为 corp.example.com,则 NetBIOS 名称将为 corp)。此 OU 属于 Amazon 并且包含您有权完全控制的所有 Amazon 相关目录对象。默认情况下,此 OU 下存在两个子 OU:Computers 和 Users。例如:
    • Corp

      • Computers

      • 用户

  • 在 Amazon 委托组 OU 中创建以下组:

    Group name 描述
    Amazon 账户委托操作员 此安全组的成员拥有有限的账户管理能力,如密码重置

    Amazon 委派的基于 Active Directory 的激活管理员

    此安全组的成员可以创建 Active Directory 批量许可激活对象,这使企业能够通过与其域的连接激活计算机。

    Amazon 在域中添加工作站的委托用户 此安全组的成员可将 10 台计算机加入域中。
    Amazon 委托管理员 此安全组的成员可以管理 Amazon Managed Microsoft AD,对您 OU 中的所有对象拥有完全控制权,并可以管理 Amazon 委托组 OU 中包含的组。
    Amazon 委托了允许对对象进行身份验证 此安全组的成员可以对 Amazon 预留 OU 中的计算机资源进行身份验证(仅当本地对象具有启用了选择性身份验证的信任时才需要)。
    Amazon 委派了允许对域控制器进行身份验证 此安全组的成员可以对域控制器 OU 中的计算机资源进行身份验证(仅当本地对象具有启用了选择性身份验证的信任时才需要)。

    Amazon 委派的删除对象生命周期管理员

    此安全组的成员可以修改 msDS-DeletedObjectLifetime 对象,它定义了已删除对象可保留在 AD 回收站中以供还原的时长。

    Amazon 分布式文件系统委托管理员 此安全组的成员可以添加和删除 FRS、DFS-R 和 DFS 命名空间。
    Amazon 域名系统委托管理员 此安全组的成员可以管理与 Active Directory 集成的 DNS。
    Amazon 动态主机配置协议委托管理员 此安全组的成员可以对企业中的 Windows DHCP 服务器进行授权。
    Amazon 企业证书颁发机构委托管理员 此安全组的成员可以部署和管理 Microsoft 企业证书颁发机构基础设施。
    Amazon 精细密码策略委托管理员 此安全组的成员可以修改预先创建的精细密码策略。
    Amazon 委派的 FSx 管理员 此安全组的成员可以管理 Amazon FSx 资源。
    Amazon 组策略委托管理员 此安全组的成员可以执行组策略管理任务(创建、编辑、删除、链接)。
    Amazon Kerberos 委托管理员 此安全组的成员可以针对计算机和用户账户对象启用委托。
    Amazon 托管服务账户委托管理员 此安全组的成员可以创建和删除托管服务账户。
    Amazon 委托的 MS-NPRC 不合规设备 该安全组的成员将被排除在与域控制器进行安全通道通信的要求之外。此组适用于计算机账户。
    Amazon 远程访问服务委托管理员 此安全组的成员可以添加和删除 RAS 和 IAS 服务器组中的 RAS 服务器。
    Amazon 复制目录变更委托管理员 此安全组的成员可以将 Active Directory 中的配置文件信息与 SharePoint Server 进行同步。
    Amazon 服务器委托管理员 此安全组的成员包含在所有加入域的计算机的本地管理员组中。
    Amazon 站点和服务委托管理员 此安全组的成员可以重命名 Active Directory 站点和服务中的 Default-First-Site-Name 对象。
    Amazon 委派的系统管理员 此安全组的成员可以创建和管理系统管理容器中的对象。
    Amazon 终端服务器许可委托管理员 此安全组的成员可以在终端服务器许可服务器组中添加和删除终端服务器许可服务器。
    Amazon 用户委托人名称后缀委托管理员 此安全组的成员可以添加和删除用户委托人名称后缀。
  • 创建并应用以下组策略对象 (GPO):

    注意

    您无权删除、修改这些 GPO 或取消其链接。这是设计使然,因为它们是保留供 Amazon 使用的。如果需要,可以将它们链接到您控制的 OU。

    组策略名称 适用于 描述
    默认域策略 Domain 包括域密码和 Kerberos 策略。
    ServerAdmins 所有非域控制器计算机账户 将“Amazon 委托服务器管理员”添加为 BUILTIN\Administrators 组的成员。
    Amazon 保留策略:用户 Amazon 保留的用户账户 对 Amazon 保留 OU 中的所有用户账户设置建议的安全设置。
    Amazon Managed Active Directory 策略 所有域控制器 在所有域控制器上设置建议的安全设置。
    TimePolicyNT5DS 所有非 PDCe 域控制器 将所有非 PDCe 域控制器时间策略设置为使用 Windows 时间 (NT5DS)。
    TimePolicyPDC PDCe 域控制器 将 PDCe 域控制器的时间策略设置为使用网络时间协议 (NTP)。
    默认域控制器策略 未使用 在域创建期间预置,将使用 Amazon Managed Active Directory 策略。

    如果要查看每个 GPO 的设置,可以从启用了组策略管理控制台(GPMC)的加入域的 Windows 实例中查看它们。