Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erste Schritte mit AWS Managed Microsoft AD
<a name="ms_ad_getting_started"></a>

AWS Managed Microsoft AD erstellt ein vollständig verwaltetes Microsoft Active Directory System, das von Windows Server 2019 unterstützt wird AWS Cloud und auf den Funktionsebenen 2012 R2 Forest und Domain betrieben wird. Wenn Sie ein Verzeichnis mit AWS Managed Microsoft AD erstellen, Directory Service erstellt zwei Domänencontroller und fügt den DNS-Dienst in Ihrem Namen hinzu. Die Domain-Controller werden in verschiedenen Subnetzen in einer Amazon VPC erstellt. Durch diese Redundanz wird sichergestellt, dass Ihr Verzeichnis auch bei einem Ausfall zugänglich bleibt. Wenn Sie weitere Domain-Controller benötigen, können Sie diese später hinzufügen. Weitere Informationen finden Sie unter [Bereitstellung zusätzlicher Domänencontroller für Ihr AWS verwaltetes Microsoft AD](ms_ad_deploy_additional_dcs.md).

Eine Demo und einen Überblick über AWS Managed Microsoft AD finden Sie im folgenden YouTube Video.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla)


**Topics**
+ [Voraussetzungen für die Erstellung eines AWS verwalteten Microsoft AD](#ms_ad_getting_started_prereqs)
+ [AWS IAM Identity Center Voraussetzungen](#prereq_aws_sso_ms_ad)
+ [Voraussetzungen für Multifaktor-Authentifizierung](#prereq_mfa_ad)
+ [Ihr AWS verwaltetes Microsoft AD erstellen](#ms_ad_getting_started_create_directory)
+ [Was wird mit Ihrem AWS Managed Microsoft AD erstellt](ms_ad_getting_started_what_gets_created.md)
+ [AWS Verwaltetes Microsoft AD-Administratorkonto und Gruppenberechtigungen](ms_ad_getting_started_admin_account.md)

## Voraussetzungen für die Erstellung eines AWS verwalteten Microsoft AD
<a name="ms_ad_getting_started_prereqs"></a>

Um ein AWS verwaltetes Microsoft AD Active Directory zu erstellen, benötigen Sie eine Amazon-VPC mit den folgenden Komponenten: 
+ Mindestens zwei Subnetze. Jedes der Subnetze muss sich in einer anderen Availability Zone befinden und denselben Netzwerktyp haben.

  Sie können es IPv6 für Ihre VPC verwenden. Weitere Informationen finden Sie unter [IPv6 Support für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
+ Die VPC muss über Standard-Hardware-Tenancy verfügen.
+ Sie können kein AWS verwaltetes Microsoft AD in einer VPC mithilfe von Adressen im 198.18.0.0/15-Adressraum erstellen.

Wenn Sie Ihre AWS verwaltete Microsoft AD-Domäne in eine bestehende lokale Active Directory-Domäne integrieren müssen, müssen Sie die Funktionsebenen Gesamtstruktur und Domäne für Ihre lokale Domäne auf Windows Server 2003 oder höher einstellen.

Directory Service verwendet eine Struktur mit zwei VPCs. Die EC2-Instances, aus denen Ihr Verzeichnis besteht, laufen außerhalb Ihres AWS Kontos und werden von verwaltet. AWS Sie haben zwei Netzwerkadapter `ETH0` und `ETH1`. `ETH0` ist der Verwaltungsadapter und existiert außerhalb Ihres Kontos. `ETH1` wird in Ihrem Konto erstellt. 

Der Verwaltungs-IP-Bereich des ETH0 Netzwerks Ihres Verzeichnisses ist 198.18.0.0/15.

Ein Tutorial zum Erstellen der AWS Umgebung und von AWS Managed Microsoft AD finden Sie unter[AWS Tutorials für verwaltete Microsoft AD-Testlabore](ms_ad_tutorial_test_lab.md).

## AWS IAM Identity Center Voraussetzungen
<a name="prereq_aws_sso_ms_ad"></a>

Wenn Sie planen, IAM Identity Center mit AWS Managed Microsoft AD zu verwenden, müssen Sie sicherstellen, dass Folgendes zutrifft:
+ Ihr AWS verwaltetes Microsoft AD-Verzeichnis ist im Verwaltungskonto Ihrer AWS Organisation eingerichtet.
+ Ihre Instanz von IAM Identity Center befindet sich in derselben Region, in der Ihr AWS Managed Microsoft AD-Verzeichnis eingerichtet ist. 

Weitere Informationen finden Sie unter [Voraussetzungen für IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html) im *AWS IAM Identity Center Benutzerhandbuch*.

## Voraussetzungen für Multifaktor-Authentifizierung
<a name="prereq_mfa_ad"></a>

Um die Multi-Faktor-Authentifizierung mit Ihrem AWS verwalteten Microsoft AD-Verzeichnis zu unterstützen, müssen Sie entweder Ihren lokalen oder cloudbasierten RADIUS-Server ([Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS)) wie folgt konfigurieren, damit er Anfragen von Ihrem AWS verwalteten Microsoft AD-Verzeichnis annehmen kann. AWS

1. Erstellen Sie auf Ihrem RADIUS-Server zwei RADIUS-Clients, die beide AWS verwalteten Microsoft AD-Domänencontroller (DCs) in repräsentieren AWS. Sie müssen beide Clients mit den folgenden allgemeinen Parametern konfigurieren (Ihr RADIUS-Server kann abweichen):
   + **Adresse (DNS oder IP)**: Dies ist die DNS-Adresse für eines der AWS verwalteten Microsoft AD DCs. Beide DNS-Adressen befinden sich in der AWS Directory Service Console auf der **Detailseite** des AWS verwalteten Microsoft AD-Verzeichnisses, in dem Sie MFA verwenden möchten. Die angezeigten DNS-Adressen stellen die IP-Adressen für beide AWS verwalteten Microsoft AD dar DCs , die von verwendet werden AWS.
**Anmerkung**  
Wenn Ihr RADIUS-Server DNS-Adressen unterstützt, müssen Sie nur eine RADIUS-Client-Konfiguration erstellen. Andernfalls müssen Sie für jedes AWS verwaltete Microsoft AD DC eine RADIUS-Clientkonfiguration erstellen.
   + **Portnummer**: Konfigurieren Sie die Portnummer, für die Ihr RADIUS-Server RADIUS-Client-Verbindungen akzeptiert. Der Standard-RADIUS-Port ist 1812.
   + **Gemeinsamer geheimer Schlüssel**: Geben Sie einen gemeinsamen geheimen Schlüssel ein oder generieren sie einen, der vom RADIUS-Server für die Verbindung mit RADIUS-Clients verwendet wird.
   + **Protokoll**: Möglicherweise müssen Sie das Authentifizierungsprotokoll zwischen dem AWS Managed Microsoft AD DCs und dem RADIUS-Server konfigurieren. Die unterstützten Protokolle sind PAP, CHAP MS- und MS CHAPv1 -. CHAPv2 MS- CHAPv2 wird empfohlen, da es die stärkste Sicherheit der drei Optionen bietet.
   + **Anwendungs-Name**: Dies kann optional in einigen RADIUS-Servern sein, und bestimmt in der Regel die Anwendung in Nachrichten oder Berichten.

1. Konfigurieren Sie Ihr vorhandenes Netzwerk so, dass eingehender Verkehr von den RADIUS-Clients (AWS verwaltete Microsoft DCs AD-DNS-Adressen, siehe Schritt 1) zu Ihrem RADIUS-Serverport zugelassen wird.

1. Fügen Sie der Amazon EC2-Sicherheitsgruppe in Ihrer AWS verwalteten Microsoft AD-Domain eine Regel hinzu, die eingehenden Datenverkehr von der zuvor definierten DNS-Adresse und Portnummer des RADIUS-Servers zulässt. Weitere Informationen finden Sie unter [Hinzufügen von Regeln zu einer Sicherheitsgruppe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) im *EC2-Benutzerhandbuch*.

Weitere Informationen zur Verwendung von AWS Managed Microsoft AD mit MFA finden Sie unter[Aktivierung der Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD](ms_ad_mfa.md). 

## Ihr AWS verwaltetes Microsoft AD erstellen
<a name="ms_ad_getting_started_create_directory"></a>

Gehen Sie wie folgt vor, um ein neues AWS verwaltetes Microsoft AD Active Directory zu erstellen. Bevor Sie dieses Verfahren beginnen, stellen Sie sicher, dass Sie die in [Voraussetzungen für die Erstellung eines AWS verwalteten Microsoft AD](#ms_ad_getting_started_prereqs) angegebenen Voraussetzungen erfüllt haben. 

**So erstellen Sie ein AWS verwaltetes Microsoft AD**

1. Wählen Sie im Navigationsbereich [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) den Eintrag **Verzeichnisse** und wählen Sie **Verzeichnis einrichten** aus.

1. Wählen Sie auf der Seite **Verzeichnistyp auswählen** die Option **AWS Managed Microsoft AD** aus und klicken Sie dann auf **Weiter**.

1. Geben Sie auf der Seite **Enter directory information (Verzeichnisinformationen eingeben)** die folgenden Informationen ein:  
**Edition**  
Wählen Sie zwischen der **Standard Edition** oder der **Enterprise Edition** von AWS Managed Microsoft AD. Weitere Informationen zu Editionen finden Sie unter [AWS Directory Service für Microsoft Active Directory](what_is.md#microsoftad).   
**DNS-Name des Verzeichnisses**  
Den vollständig qualifizierten Namen für das Verzeichnis, z. B. `corp.example.com`.  
Wenn Sie Amazon Route 53 für DNS verwenden möchten, muss sich der Domainname Ihres AWS Managed Microsoft AD von Ihrem Route 53-Domainnamen unterscheiden. Probleme mit der DNS-Auflösung können auftreten, wenn Route 53 und AWS Managed Microsoft AD denselben Domainnamen verwenden.  
**NetBIOS-Name des Verzeichnisses**  
Die kurzen Namen für das Verzeichnis, z. B. `CORP`.  
**Verzeichnisbeschreibung**  
Eine optionale Beschreibung des Verzeichnisses. Diese Beschreibung kann nach der Erstellung Ihres AWS Managed Microsoft AD geändert werden.  
**Administratorpasswort**  
Das Passwort für den Verzeichnisadministrator. Mit der Verzeichniserstellung wird ein Administratorkonto mit dem Benutzernamen `Admin` und diesem Passwort angelegt. Sie können das Admin-Passwort ändern, nachdem Sie Ihr AWS Managed Microsoft AD erstellt haben.  
Das Passwort darf das Wort „admin“ nicht beinhalten.   
Das Verzeichnisadministrator-Passwort unterscheidet zwischen Groß-/ Kleinschreibung und muss zwischen 8 und 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:  
   + Kleinbuchstaben (a – z)
   + Großbuchstaben (A – Z)
   + Zahlen (0 – 9)
   + Nicht-alphanumerische Zeichen (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)  
**Confirm password (Passwort bestätigen)**  
Geben Sie das Administratorpasswort erneut ein.  
**(Optional) Benutzer- und Gruppenverwaltung**  
Um die AWS verwaltete Microsoft AD-Benutzer- und Gruppenverwaltung von zu aktivieren AWS-Managementkonsole, wählen Sie **Benutzer- und Gruppenverwaltung verwalten in der AWS-Managementkonsole**. Weitere Informationen zur Verwendung der Benutzer- und Gruppenverwaltung finden Sie unter[AWS Verwaltete Microsoft AD-Benutzer und -Gruppen mit dem AWS-Managementkonsole, AWS CLI, oder verwalten AWS -Tools für PowerShell](ms_ad_manage_users_groups_procedures.md).

1. Geben Sie auf der Seite **Choose VPC and subnets (VPC und Subnetze wählen)** die folgenden Informationen an und wählen Sie dann **Next (Weiter)**.  
**VPC**  
Wählen Sie die VPC für das Verzeichnis aus.  
**Netzwerktyp**  
Das Internet Protocol (IP) -Adressierungssystem, das mit Ihrer VPC und Ihren Subnetzen verknüpft ist.  
Wählen Sie den CIDR-Block aus, der Ihrer vorhandenen VPC zugeordnet ist. Ressourcen in Ihrem Subnetz können so konfiguriert werden, dass sie IPv4 nur, IPv6 nur oder beides verwenden IPv6 ( IPv4 Dual-Stack). Weitere Informationen finden Sie unter [Compare IPv4 und IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.  
**Subnets**  
Wählen Sie die Subnetze für die Domain-Controller aus. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören. 

1. Überprüfen Sie auf der Seite **Review & create (Überprüfen und erstellen)** die Verzeichnisinformationen und nehmen Sie gegebenenfalls Änderungen vor. Wenn die Informationen richtig sind, wählen Sie **Create directory (Verzeichnis erstellen)**. Das Erstellen des Verzeichnisses dauert 20 bis 40 Minuten. Sobald sie erstellt wurden, ändert sich der **Status** in **Active**.

Weitere Informationen darüber, was mit Ihrem AWS Managed Microsoft AD erstellt wird, finden Sie im Folgenden:
+ [Was wird mit Ihrem AWS Managed Microsoft AD erstellt](ms_ad_getting_started_what_gets_created.md)
+ [AWS Verwaltetes Microsoft AD-Administratorkonto und Gruppenberechtigungen](ms_ad_getting_started_admin_account.md)

**Verwandte Blogartikel zum Thema AWS Sicherheit**
+ [So delegieren Sie die Verwaltung Ihres AWS verwalteten Microsoft AD-Verzeichnisses an Ihre lokalen Active Directory-Benutzer](https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/)
+ [So konfigurieren Sie mit AWS Managed Microsoft AD noch strengere Kennwortrichtlinien, um Ihre Sicherheitsstandards zu erfüllen Directory Service](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
+ [So erhöhen Sie die Redundanz und Leistung Ihres Directory Service for AWS Managed Microsoft AD durch Hinzufügen von Domain-Controllern](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/)
+ [So aktivieren Sie die Verwendung von Remote-Desktops, indem Sie den Microsoft Remote Desktop Licensing Manager auf AWS Managed Microsoft AD bereitstellen](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/)
+ [So greifen AWS-Managementkonsole Sie mithilfe von AWS Managed Microsoft AD und Ihren lokalen Anmeldeinformationen auf](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
+ [So aktivieren Sie die Multi-Faktor-Authentifizierung für AWS Dienste mithilfe von AWS Managed Microsoft AD und lokalen Anmeldeinformationen](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
+ [Wie können Sie sich mithilfe Ihres lokalen Active Directory ganz einfach bei AWS Diensten anmelden](https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/)

# Was wird mit Ihrem AWS Managed Microsoft AD erstellt
<a name="ms_ad_getting_started_what_gets_created"></a>

Wenn Sie ein Active Directory mit AWS Managed Microsoft AD erstellen, Directory Service führt in Ihrem Namen die folgenden Aufgaben aus:
+ Erstellt automatisch eine Elastic-Network-Schnittstelle (ENI) und ordnet sie jedem Ihrer Domain-Controller zu. Jedes dieser Elemente ist für ENIs die Konnektivität zwischen Ihrer VPC und den Directory Service Domänencontrollern unerlässlich und sollte niemals gelöscht werden. Sie können alle Netzwerkschnittstellen, die für die Verwendung reserviert sind, Directory Service anhand der Beschreibung identifizieren: "Netzwerkschnittstelle für *Verzeichnis-ID AWS wurde erstellt“.* Weitere Informationen finden Sie unter [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) im *Amazon EC2 EC2-Benutzerhandbuch*. Der Standard-DNS-Server des AWS verwalteten Microsoft AD Active Directory ist der VPC-DNS-Server bei Classless Inter-Domain Routing (CIDR) \$12. Weitere Informationen finden Sie unter [Amazon DNS-Server](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS) im *Amazon VPC-Benutzerhandbuch*.
**Anmerkung**  
Domain-Controller werden standardmäßig in zwei Availability Zones in einer Region bereitgestellt und mit Ihrer Amazon VPC (VPC) verbunden. Backups werden automatisch einmal täglich erstellt, und die Amazon EBS (EBS) -Volumes werden verschlüsselt, um sicherzustellen, dass die Daten im Ruhezustand gesichert sind. Domain-Controller, die ausfallen, werden automatisch in derselben Availability Zone unter Verwendung derselben IP-Adresse ersetzt, und eine vollständige Notfallwiederherstellung kann unter Verwendung des letzten Backups durchgeführt werden.
+ Stellt Active Directory innerhalb Ihrer VPC mit zwei Domain-Controllern für Fehlertoleranz und hohe Verfügbarkeit bereit. Nachdem das Verzeichnis erfolgreich erstellt wurde und [Aktiv](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html) ist, können weitere Domain-Controller bereitgestellt werden, um die Ausfallsicherheit und Leistung zu erhöhen. Weitere Informationen finden Sie unter [Bereitstellung zusätzlicher Domänencontroller für Ihr AWS verwaltetes Microsoft AD](ms_ad_deploy_additional_dcs.md).
**Anmerkung**  
AWS erlaubt nicht die Installation von Monitoring-Agents auf AWS verwalteten Microsoft AD-Domänencontrollern.
+ Erstellt eine [AWS Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)*sg-1234567890abcdef0*, die Netzwerkregeln für den Verkehr zu und von Ihren Domänencontrollern festlegt. Die Standardregel für ausgehenden Datenverkehr lässt den gesamten Datenverkehr zu allen IPv4 Adressen zu. Die Standardregeln für eingehenden Datenverkehr lassen nur Datenverkehr über Ports zu, die für Active Directory aus dem primären IPv4 CIDR-Block erforderlich sind, der dem VPC-Hosting für Ihr AWS verwaltetes Microsoft AD zugeordnet ist. Um zusätzliche Sicherheit zu gewährleisten, sind ENIs die erstellten Dateien nicht mit Elastic IPs verknüpft und Sie sind nicht berechtigt, ihnen eine Elastic IP zuzuweisen. ENIs Daher ist der einzige eingehende Datenverkehr, der mit Ihrem AWS verwalteten Microsoft AD kommunizieren kann, standardmäßig die lokale VPC. Sie können die Sicherheitsgruppenregeln ändern, um zusätzliche Datenverkehrsquellen zuzulassen, z. B. von anderen Datenverkehrsquellen, die über VPN CIDRs erreichbar sind VPCs oder über VPN erreichbar sind. Seien Sie äußerst vorsichtig, wenn Sie versuchen, diese Reglen zu ändern, da Sie die Fähigkeit zur Kommmunikation mit Ihren Domain-Controllern beeinträchtigen können. Weitere Informationen erhalten Sie unter [AWS Bewährte Methoden für verwaltetes Microsoft AD](ms_ad_best_practices.md) und [Verbesserung Ihrer AWS Managed Microsoft AD-Netzwerksicherheitskonfiguration](ms_ad_network_security.md).

  Sie können [Präfixlisten]() verwenden, um Ihre CIDR-Blöcke innerhalb der Sicherheitsgruppenregeln zu verwalten. Präfixlisten erleichtern die Verwaltung und Konfiguration von Sicherheitsgruppen und Routing-Tabellen. Sie können mehrere CIDR-Blöcke mit demselben Port und denselben Protokollen konsolidieren, um Ihren Netzwerkverkehr zu skalieren.
  + In einer Windows Umgebung kommunizieren Clients häufig über [Server Message Block (SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) oder Port 445. Dieses Protokoll ermöglicht verschiedene Aktionen wie die gemeinsame Nutzung von Dateien und Druckern und die allgemeine Netzwerkkommunikation. Sie sehen den Client-Verkehr auf Port 445 zu den Verwaltungsschnittstellen Ihrer AWS verwalteten Microsoft AD-Domänencontroller.

    Dieser Datenverkehr tritt auf, da SMB-Clients auf die DNS- (Port 53) und NetBIOS-Namensauflösung (Port 138) angewiesen sind, um Ihre AWS verwalteten Microsoft AD-Domänenressourcen zu finden. Diese Clients werden bei der Suche nach Domänenressourcen an jede verfügbare Schnittstelle auf den Domänencontrollern weitergeleitet. Dieses Verhalten wird erwartet und tritt häufig in Umgebungen mit mehreren Netzwerkadaptern auf, in denen [SMB Multichannel](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11)) es Clients ermöglicht, Verbindungen über verschiedene Schnittstellen herzustellen, um die Leistung und Redundanz zu verbessern.

  Die folgenden AWS Sicherheitsgruppenregeln werden standardmäßig erstellt:

  **Regeln für eingehenden Datenverkehr**  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)

  **Regeln für ausgehenden Datenverkehr**  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
+ Weitere Informationen zu den von Active Directory verwendeten Ports und Protokollen finden Sie in der Microsoft Dokumentation unter [Dienstübersicht und Netzwerkportanforderungen für Windows](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports).
+ Erstellt ein Verzeichnisadministratorkonto mit dem Benutzernamen Admin und dem angegebenen Passwort. Dieses Konto befindet sich unter Users OU (z. B. Unternehmen > Benutzer). Sie verwenden dieses Konto, um Ihr Verzeichnis in der zu verwalten AWS Cloud. Weitere Informationen finden Sie unter [AWS Verwaltetes Microsoft AD-Administratorkonto und Gruppenberechtigungen](ms_ad_getting_started_admin_account.md).
**Wichtig**  
Achten Sie darauf, dieses Passwort zu speichern. Directory Service speichert dieses Passwort nicht und es kann nicht abgerufen werden. Sie können ein Passwort jedoch über die Directory Service Konsole oder mithilfe der [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API zurücksetzen.
+ Erstellt die folgenden drei Organisationseinheiten (OUs) unter dem Domänenstamm:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
+ Erstellt die folgenden Gruppen inAWS Delegated Groups OU:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
**Anmerkung**  
Sie können diese hinzufügenAWS Delegated Groups.
+ Erstellt die folgenden Gruppenrichtlinienobjekte (GPOs) und wendet sie an:
**Anmerkung**  
Sie sind nicht berechtigt, diese GPOs zu löschen, zu ändern oder die Verknüpfung aufzuheben. Dies ist beabsichtigt, da sie der AWS Verwendung vorbehalten sind. Sie können sie bei Bedarf mit OUs denen verknüpfen, die Sie kontrollieren.   
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)

  Wenn Sie die Einstellungen der einzelnen Richtlinien sehen möchten, können Sie diese von einer domainverbundenen Windows-Instance mit aktivierter [Gruppenrichtlinien-Verwaltungskonsole (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)) aus einsehen.
+ Erstellt Folgendes default local accounts für das AWS verwaltete Microsoft AD-Management:
**Wichtig**  
Achten Sie darauf, das Admin-Passwort zu speichern. Directory Service speichert dieses Passwort nicht und es kann nicht abgerufen werden. Sie [können ein Passwort jedoch über die Directory Service Konsole](ms_ad_manage_users_groups_reset_password.md) oder mithilfe der [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API zurücksetzen.  
**Admin**  
Das Admin wird directory administrator account erstellt, wenn das AWS verwaltete Microsoft AD zum ersten Mal erstellt wird. Sie geben ein Passwort für dieses Konto an, wenn Sie ein AWS verwaltetes Microsoft AD erstellen. Dieses Konto befindet sich unter Users OU (z. B. Unternehmen > Benutzer). Sie verwenden dieses Konto, um Ihr Active Directory im zu verwalten AWS. Weitere Informationen finden Sie unter [AWS Verwaltetes Microsoft AD-Administratorkonto und Gruppenberechtigungen](ms_ad_getting_started_admin_account.md).  
**AWS*\$1*11111111111****  
Jeder Kontoname, der mit einem AWS gefolgt von einem Unterstrich beginnt und sich in befindet, AWS Reserved OU ist ein vom Dienst verwaltetes Konto. Dieses vom Dienst verwaltete Konto wird von für AWS die Interaktion mit dem Active Directory verwendet. Diese Konten werden erstellt, wenn AWS Directory Service Data aktiviert ist und wenn jede neue AWS Anwendung in Active Directory autorisiert wird. Auf diese Konten können nur AWS Dienste zugreifen.  
**krbtgt account**  
Das krbtgt account spielt eine wichtige Rolle bei den Kerberos-Ticketbörsen, die von Ihrem AWS Managed Microsoft AD verwendet werden. Das krbtgt account ist ein spezielles Konto, das für die Kerberos-Ticket-Granting-Ticket-Verschlüsselung (TGT) verwendet wird und eine entscheidende Rolle für die Sicherheit des Kerberos-Authentifizierungsprotokolls spielt. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account).   
AWS wechselt das krbtgt account Passwort für Ihr AWS verwaltetes Microsoft AD automatisch zweimal alle 90 Tage. Zwischen den beiden aufeinanderfolgenden Rotationen liegt alle 90 Tage eine Wartezeit von 24 Stunden.

Weitere Informationen zum Administratorkonto und anderen von Active Directory erstellten Konten finden Sie in der [MicrosoftDokumentation](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts).

# AWS Verwaltetes Microsoft AD-Administratorkonto und Gruppenberechtigungen
<a name="ms_ad_getting_started_admin_account"></a>

Wenn Sie einen AWS Directory Service für das Microsoft Active Directory-Verzeichnis erstellen, AWS wird eine Organisationseinheit (OU) erstellt, in der alle AWS zugehörigen Gruppen und Konten gespeichert werden. Weitere Informationen über diese OU finden Sie unter [Was wird mit Ihrem AWS Managed Microsoft AD erstellt](ms_ad_getting_started_what_gets_created.md). Dies umfasst auch das Admin-Konto. Das Admin-Konto verfügt über die Berechtigungen zur Durchführung allgemeiner administrativer Aktivitäten für Ihre OU:
+ Hinzufügen, Aktualisieren oder Löschen von Benutzern, Gruppen und Computern. Weitere Informationen finden Sie unter [Benutzer- und Gruppenverwaltung in AWS Managed Microsoft AD](ms_ad_manage_users_groups.md). 
+ Hinzufügen von Ressourcen zu Ihrer Domain, etwa Datei- oder Druckserver, und anschließendes Gewähren der zugehörigen Ressourcenberechtigungen für Benutzer und Gruppen in der OU.
+ Erstellen Sie zusätzliche OUs Container.
+ Delegieren Sie die Autorität für zusätzliche Container OUs und Container. Weitere Informationen finden Sie unter [Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD](directory_join_privileges.md).
+ Erstellen und Verknüpfen von Gruppenrichtlinien.
+ Wiederherstellen von gelöschten Objekten aus dem Active Directory-Papierkorb.
+ Führen Sie Active Directory- und PowerShell DNS-Module im Active Directory-Webdienst aus.
+ Erstellen und konfigurieren von gruppenverwalteten Service-Konten. Weitere Informationen finden Sie unter [Gruppenverwaltete Service-Konten](ms_ad_key_concepts.md#ms_ad_key_concepts_gmsa).
+ Konfigurieren einer eingeschränkten Kerberos-Delegierung. Weitere Informationen finden Sie unter [Eingeschränkte Kerberos-Delegierung](ms_ad_key_concepts.md#ms_ad_key_concepts_kerberos).

Das Administratorkonto verfügt zudem über die Rechte zum Ausführen der folgenden domainübergreifenden Aktivitäten:
+ Verwalten von DNS-Konfigurationen (Hinzufügen, Entfernen oder Aktualisieren von Datensätzen, Zonen und Weiterleitungen)
+ Aufrufen von DNS-Ereignisprotokollen
+ Anzeigen von Sicherheitsereignisprotokollen

Nur die hier aufgelisteten Aktionen können mit dem Administratorkonto ausgeführt werden. Das Administratorkonto hat keine Berechtigungen für verzeichnisbezogene Aktionen außerhalb Ihrer OU, etwa in der übergeordneten OU.

**Überlegungen**
+ AWS Domänenadministratoren haben vollen Administratorzugriff auf alle Domänen, auf denen gehostet wird AWS. Weitere Informationen zum AWS Umgang mit Inhalten, einschließlich Verzeichnisinformationen, die AWS Sie auf AWS Systemen speichern, finden Sie in Ihrer Vereinbarung mit AWS und in den [häufig gestellten Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/).
+ Es wird empfohlen, dieses Konto nicht zu löschen oder umzubenennen. Wenn Sie das Konto nicht mehr verwenden möchten, empfehlen wir Ihnen, ein langes Passwort (maximal 64 zufällige Zeichen) festzulegen und dann das Konto zu deaktivieren. 

**Anmerkung**  
AWS hat die ausschließliche Kontrolle über die privilegierten Benutzer und Gruppen des Domänenadministrators und des Unternehmensadministrators. Dies ermöglicht AWS die operative Verwaltung Ihres Verzeichnisses. 

## Privilegierte Enterprise- und Domainadministrator-Konten
<a name="privileged_accounts"></a>

AWS wechselt das integrierte Administratorkennwort automatisch alle 90 Tage zu einem zufälligen Passwort. Jedes Mal, wenn das integrierte Administratorkennwort für den menschlichen Gebrauch angefordert wird, wird ein AWS Ticket erstellt und beim Directory Service Team protokolliert. Die Kontoanmeldeinformationen werden verschlüsselt und über sichere Kanäle verwaltet. Außerdem können die Anmeldeinformationen für das Administratorkonto nur vom Directory Service Managementteam angefordert werden.

Für die operative Verwaltung Ihres Verzeichnisses AWS hat es die ausschließliche Kontrolle über Konten mit Unternehmensadministrator- und Domänenadministratorrechten. Dies beinhaltet die ausschließliche Kontrolle über das Active Directory-Administratorkonto. AWS schützt dieses Konto, indem die Passwortverwaltung mithilfe eines Passwort-Tresors automatisiert wird. AWS Erstellt während der automatischen Rotation des Administratorkennworts ein temporäres Benutzerkonto und gewährt ihm Domänenadministratorrechte. Dieses temporäre Konto wird im Falle eines Passwortrotationsfehlers im Administratorkonto als Backup verwendet. AWS Löscht nach AWS erfolgreicher Rotation des Administratorkennworts das temporäre Administratorkonto.

Normalerweise wird das Verzeichnis vollständig automatisiert AWS betrieben. Falls ein Automatisierungsprozess ein Betriebsproblem nicht lösen AWS kann, muss sich möglicherweise ein Support-Techniker bei Ihrem Domänencontroller (DC) anmelden, um die Diagnose durchzuführen. AWS Implementiert in diesen seltenen Fällen ein request/notification System zur Gewährung des Zugriffs. Bei diesem Vorgang erstellt die AWS Automatisierung ein zeitlich begrenztes Benutzerkonto in Ihrem Verzeichnis, das über Domänenadministratorberechtigungen verfügt. AWS ordnet das Benutzerkonto dem Techniker zu, der mit der Bearbeitung Ihres Verzeichnisses beauftragt ist. AWS zeichnet diese Zuordnung in unserem Protokollsystem auf und stellt dem Techniker die zu verwendenden Anmeldeinformationen zur Verfügung. Alle durchgeführten Aktionen des Technikers werden in den Windows-Ereignisprotokollen protokolliert. Wenn die zugeordnete Zeit verstrichen ist, löscht die Automatisierung das Benutzerkonto.

Sie können administrative Aktivitäten überwachen, indem Sie das Protokoll-Weiterleitungsfeature Ihres Verzeichnisses verwenden. Mit dieser Funktion können Sie die AD Security-Ereignisse an Ihr CloudWatch System weiterleiten, wo Sie Überwachungslösungen implementieren können. Weitere Informationen finden Sie unter [Aktivierung der Amazon CloudWatch Logs-Protokollweiterleitung für AWS Managed Microsoft AD](ms_ad_enable_log_forwarding.md).

Die IDs Sicherheitsereignisse 4624, 4672 und 4648 werden alle protokolliert, wenn sich jemand interaktiv an einem DC anmeldet. Sie können das Windows-Sicherheitsereignisprotokoll jedes DCs mit der Event Viewer Microsoft Management Console (MMC) von einem Windows-Computer aus anzeigen, der einer Domäne angehört. Sie können auch [Aktivierung der Amazon CloudWatch Logs-Protokollweiterleitung für AWS Managed Microsoft AD](ms_ad_enable_log_forwarding.md) alle Sicherheitsereignisprotokolle an die CloudWatch Protokolle in Ihrem Konto senden.

Es kann gelegentlich vorkommen, dass Benutzer innerhalb der AWS reservierten Organisationseinheit erstellt und gelöscht wurden. AWS ist verantwortlich für die Verwaltung und Sicherheit aller Objekte in dieser Organisationseinheit und allen anderen Organisationseinheiten oder Containern, deren Zugriff und Verwaltung wir Ihnen nicht delegiert haben. Möglicherweise sehen Sie Erstellungen und Löschungen in dieser Organisationseinheit. Dies liegt daran, dass das Domänenadministratorkennwort Directory Service mithilfe von Automatisierung regelmäßig gewechselt wird. Wenn das Passwort rotiert wird, wird ein Backup erstellt, falls die Rotation fehlschlägt. Sobald die Rotation erfolgreich ist, wird das Backup-Konto automatisch gelöscht. Für den seltenen Fall, dass DCs zur Fehlerbehebung interaktiver Zugriff auf die erforderlich ist, wird außerdem ein temporäres Benutzerkonto erstellt, das ein Directory Service Techniker verwenden kann. Sobald ein Techniker seine Arbeit abgeschlossen hat, wird das temporäre Benutzerkonto gelöscht. Beachten Sie, dass jedes Mal, wenn interaktive Anmeldeinformationen für ein Verzeichnis angefordert werden, das Directory Service Managementteam benachrichtigt wird.