Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Introducción a AWS Managed Microsoft AD
<a name="ms_ad_getting_started"></a>

AWS Managed Microsoft AD crea un servidor 2019 totalmente administrado, Microsoft Active Directory Nube de AWS integrado y funciona con Windows Server 2019 y funciona en los niveles funcionales de bosque y dominio R2 de 2012. Cuando crea un directorio con Microsoft AD AWS administrado, Directory Service crea dos controladores de dominio y agrega el servicio DNS en su nombre. Los controladores de dominio se crean en subredes diferentes de una Amazon VPC; esta redundancia ayuda a garantizar que el directorio permanecerá accesible incluso en caso de error. Si necesita más controladores de dominio, puede añadirlos posteriormente. Para obtener más información, consulte [Implementación de controladores de dominio adicionales para su Microsoft AD AWS administrado](ms_ad_deploy_additional_dcs.md).

Para ver una demostración y una descripción general de AWS Managed Microsoft AD, consulte el siguiente YouTube vídeo.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla)


**Topics**
+ [Requisitos previos para crear un Microsoft AWS AD administrado](#ms_ad_getting_started_prereqs)
+ [AWS IAM Identity Center requisitos previos](#prereq_aws_sso_ms_ad)
+ [Requisitos previos de la autenticación multifactor](#prereq_mfa_ad)
+ [Creación de su Microsoft AD AWS administrado](#ms_ad_getting_started_create_directory)
+ [Qué se crea con su Microsoft AD AWS administrado](ms_ad_getting_started_what_gets_created.md)
+ [AWS Permisos gestionados de grupos y cuentas de administrador de Microsoft AD](ms_ad_getting_started_admin_account.md)

## Requisitos previos para crear un Microsoft AWS AD administrado
<a name="ms_ad_getting_started_prereqs"></a>

Para crear un Active Directory AWS administrado de Microsoft AD, necesita una Amazon VPC con lo siguiente: 
+ Dos subredes como mínimo. Cada una de las subredes debe estar en una zona de disponibilidad diferente y debe ser del mismo tipo de red.

  Puede usarlo IPv6 para su VPC. Para obtener más información, consulte la [IPv6 compatibilidad con su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) en la Guía del *usuario de Amazon Virtual Private Cloud*.
+ La VPC debe disponer de tenencia de hardware predeterminada.
+ No puede crear un Microsoft AD AWS administrado en una VPC con direcciones del espacio de direcciones 198.18.0.0/15.

Si necesita integrar su dominio de Microsoft AD AWS administrado con un dominio de Active Directory local existente, debe tener los niveles funcionales de bosque y dominio de su dominio local establecidos en Windows Server 2003 o superior.

Directory Service utiliza una estructura de dos VPC. Las instancias EC2 que componen su directorio se ejecutan fuera de su AWS cuenta y son administradas por. AWS Contienen dos adaptadores de red, `ETH0` y `ETH1`. `ETH0` es el adaptador de administración y se encuentra fuera de su cuenta. `ETH1` se crea dentro de su cuenta. 

El rango de IP de administración de la ETH0 red de su directorio es 198.18.0.0/15.

Para ver un tutorial sobre cómo crear el AWS entorno y Microsoft AD AWS administrado, consulte[AWS Tutoriales de laboratorio de pruebas gestionadas de Microsoft AD](ms_ad_tutorial_test_lab.md).

## AWS IAM Identity Center requisitos previos
<a name="prereq_aws_sso_ms_ad"></a>

Si planea usar el Centro de identidades de IAM con Microsoft AD AWS administrado, debe asegurarse de que se cumpla lo siguiente:
+ El directorio de Microsoft AD AWS administrado está configurado en la cuenta de administración de la AWS organización.
+ Su instancia de IAM Identity Center se encuentra en la misma región en la que está configurado su directorio AWS gestionado de Microsoft AD. 

Para más información, consulte [Requisitos previos del IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html) en la *Guía del usuario de AWS IAM Identity Center *.

## Requisitos previos de la autenticación multifactor
<a name="prereq_mfa_ad"></a>

Para admitir la autenticación multifactorial con su directorio de Microsoft AD AWS administrado, debe configurar su servidor de [servicio de usuario telefónico de autenticación remota (RADIUS) local o basado en](https://en.wikipedia.org/wiki/RADIUS) la nube de la siguiente manera para que pueda aceptar solicitudes de su directorio de AWS Microsoft AD administrado en. AWS

1. En su servidor RADIUS, cree dos clientes RADIUS para representar los dos controladores de dominio AWS administrados de Microsoft AD (DCs) en AWS. Debe configurar ambos clientes utilizando los siguientes parámetros comunes (su servidor RADIUS puede variar):
   + **Dirección (DNS o IP)**: es la dirección DNS de uno de los Microsoft AD AWS administrados DCs. Ambas direcciones DNS se encuentran en la consola de AWS Directory Service, en la página de **detalles** del directorio AWS administrado de Microsoft AD en el que planea usar MFA. Las direcciones DNS que se muestran representan las direcciones IP de los dos Microsoft AD AWS administrados DCs que utilizan AWS.
**nota**  
Si su servidor RADIUS es compatible con direcciones DNS, deberá crear una única configuración de cliente RADIUS. De lo contrario, debe crear una configuración de cliente RADIUS para cada Microsoft AD DC AWS administrado.
   + **Port number**: configure el número de puerto donde su servidor RADIUS acepta conexiones de clientes RADIUS. El puerto para RADIUS estándar es 1812.
   + **Shared secret** (Secreto compartido): escriba o genere el secreto compartido que el servidor RADIUS utilizará para conectar con los clientes de RADIUS.
   + **Protocolo**: es posible que necesite configurar el protocolo de autenticación entre el Microsoft AD AWS administrado DCs y el servidor RADIUS. Los protocolos compatibles son PAP, CHAP MS- CHAPv1 y MS-. CHAPv2 Se CHAPv2 recomienda el MS- porque proporciona la mayor seguridad de las tres opciones.
   + **Application name**: puede ser opcional en algunos servidores RADIUS y normalmente identifica la aplicación en los mensajes o en los informes.

1. Configure su red existente para permitir el tráfico entrante desde los clientes RADIUS (direcciones DCs DNS AWS administradas de Microsoft AD, consulte el paso 1) al puerto de su servidor RADIUS.

1. Añada una regla al grupo de seguridad Amazon EC2 de su dominio gestionado de AWS Microsoft AD que permita el tráfico entrante desde la dirección DNS y el número de puerto del servidor RADIUS definidos anteriormente. Para obtener más información, consulte [Agregar reglas a un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) en la *Guía del usuario de EC2*.

Para obtener más información sobre el uso de Microsoft AD AWS administrado con MFA, consulte. [Habilitación de la autenticación multifactorial para Microsoft AWS AD administrado](ms_ad_mfa.md) 

## Creación de su Microsoft AD AWS administrado
<a name="ms_ad_getting_started_create_directory"></a>

Para crear un nuevo Active Directory AWS administrado de Microsoft AD, lleve a cabo los siguientes pasos. Antes de comenzar este procedimiento, asegúrese de haber completado los requisitos previos que se indican en [Requisitos previos para crear un Microsoft AWS AD administrado](#ms_ad_getting_started_prereqs). 

**Para crear un Microsoft AD AWS administrado**

1. En el [panel de navegación de la consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), elija **Directorios** y, a continuación, elija **Configurar directorio**.

1. En la página **Seleccionar tipo de directorio**, elija **AWS Managed Microsoft AD** y, a continuación, elija **Siguiente**.

1. En la página **Enter directory information (Especifique la información del directorio)**, facilite la siguiente información:  
**Edición**  
Elija entre la **edición estándar o la edición** **empresarial** de AWS Managed Microsoft AD. Para obtener más información acerca de las ediciones, consulte [AWS Directory Service para Microsoft Active Directory](what_is.md#microsoftad).   
**Nombre de DNS del directorio**  
El nombre completo del directorio, como por ejemplo `corp.example.com`.  
Si planea usar Amazon Route 53 para DNS, el nombre de dominio de su Microsoft AD AWS administrado debe ser diferente al nombre de dominio de Route 53. Se pueden producir problemas de resolución de DNS si Route 53 y AWS Managed Microsoft AD comparten el mismo nombre de dominio.  
**Nombre NetBIOS del directorio**  
El nombre abreviado del directorio, como `CORP`.  
**Descripción del directorio**  
Descripción opcional del directorio. Esta descripción se puede cambiar después de crear su Microsoft AD AWS administrado.  
**Contraseña de administrador**  
Contraseña del administrador del directorio. Al crear el directorio, se crea también una cuenta de administrador con el nombre de usuario `Admin` y esta contraseña. Puedes cambiar la contraseña de administrador después de crear tu Microsoft AD AWS administrado.  
La contraseña no puede incluir la palabra “admin”.   
La contraseña del administrador del directorio distingue entre mayúsculas y minúsculas y debe tener 8 caracteres como mínimo y 64 como máximo. También debe contener al menos un carácter de tres de las siguientes categorías:  
   + Letras minúsculas (a-z)
   + Letras mayúsculas (A-Z)
   + Números (0-9)
   + Caracteres no alfanuméricos (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)  
**Confirmar contraseña**  
Vuelva a escribir la contraseña de administrador.  
**(Opcional) Administración de usuarios y grupos**  
Para habilitar la administración AWS administrada de usuarios y grupos de Microsoft AD desde Consola de administración de AWS, seleccione **Administrar la administración de usuarios y grupos en Consola de administración de AWS**. Para obtener más información acerca de cómo usar la administración de grupos y usuarios, consulte [Administre los usuarios y grupos AWS administrados de Microsoft AD con Consola de administración de AWS AWS CLI, o Herramientas de AWS para PowerShell](ms_ad_manage_users_groups_procedures.md).

1. En la página **Choose VPC and subnets (Elegir la VPC y las subredes)**, proporcione la siguiente información y, a continuación, elija **Next (Siguiente)**.  
**VPC**  
Seleccione la VPC del directorio.  
**Tipo de red**  
El sistema de direcciones del Protocolo de Internet (IP) asociado a la VPC y las subredes.  
Seleccione el bloque de CIDR asociado a su VPC existente. Los recursos de la subred se pueden configurar para que se usen IPv4 solo, IPv6 solo o ambos IPv4 y IPv6 (pila doble). Para obtener más información, consulte [Compare IPv4 y IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html) en la *Guía del usuario de Amazon Virtual Private Cloud*.  
**Subredes**  
Seleccione las subredes de los controladores de dominio. Las dos subredes deben estar en diferentes zonas de disponibilidad. 

1. En la página **Review & create (Revisar y crear)**, revise la información del directorio y haga los cambios que sean necesarios. Cuando la información sea correcta, seleccione **Create directory (Crear directorio)**. Se tarda entre 20 y 40 minutos en crear el directorio. Una vez creado, el valor **Status** cambia a **Active**.

Para obtener más información sobre lo que se crea con su Microsoft AD AWS administrado, consulte lo siguiente:
+ [Qué se crea con su Microsoft AD AWS administrado](ms_ad_getting_started_what_gets_created.md)
+ [AWS Permisos gestionados de grupos y cuentas de administrador de Microsoft AD](ms_ad_getting_started_admin_account.md)

**Artículos del blog AWS de seguridad relacionados**
+ [Cómo delegar la administración del directorio AWS administrado de Microsoft AD a los usuarios de Active Directory locales](https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/)
+ [Cómo configurar políticas de contraseñas aún más sólidas para ayudar a cumplir sus estándares de seguridad mediante el uso Directory Service de Microsoft AD AWS administrado](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
+ [Cómo aumentar la redundancia y el rendimiento de su Directory Service Microsoft AD AWS administrado mediante la adición de controladores de dominio](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/)
+ [Cómo habilitar el uso de escritorios remotos mediante la implementación del administrador de licencias de escritorio Microsoft remoto en AWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/)
+ [Cómo acceder Consola de administración de AWS mediante Microsoft AD AWS administrado y sus credenciales locales](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
+ [Cómo habilitar la autenticación multifactor para AWS los servicios mediante Microsoft AD AWS administrado y credenciales locales](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
+ [Cómo iniciar sesión fácilmente en los AWS servicios mediante el Active Directory local](https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/)

# Qué se crea con su Microsoft AD AWS administrado
<a name="ms_ad_getting_started_what_gets_created"></a>

Al crear un Active Directory con Microsoft AD AWS administrado, Directory Service realiza las siguientes tareas en su nombre:
+ Crea y asocia automáticamente una interfaz de red elástica (ENI) a cada uno de sus controladores de dominio. Cada uno de ENIs ellos es esencial para la conectividad entre la VPC y los controladores de Directory Service dominio y nunca debe eliminarse. Puede identificar todas las interfaces de red reservadas para su uso Directory Service mediante la descripción: «interfaz de red AWS creada para el identificador del *directorio*». Para obtener más información, consulte [Interfaces de redes elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) en la *Guía del usuario de Amazon EC2*. El servidor DNS predeterminado del Active Directory AWS administrado de Microsoft AD es el servidor DNS de la VPC en el enrutamiento entre dominios sin clase (CIDR) \$12. Para obtener más información, consulte [Servidor DNS de Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS) en la *Guía del usuario de Amazon VPC*.
**nota**  
Los controladores de dominio se implementan de manera predeterminada en dos zonas de disponibilidad dentro de una región y se conectan a la Amazon VPC (Virtual Private Cloud). Las copias de seguridad se hacen en forma automática una vez al día y los volúmenes de Amazon EBS (EBS) se cifran para garantizar la seguridad de los datos en reposo. Los controladores de dominio que tienen errores se sustituyen automáticamente en la misma zona de disponibilidad con la misma dirección IP y se puede llevar a cabo una recuperación de desastres completa con la última copia de seguridad.
+ Aprovisiona Active Directory dentro de la VPC mediante dos controladores de dominio para tolerancia a errores y alta disponibilidad. Se pueden aprovisionar más controladores de dominio para mayor resiliencia y rendimiento después de que el directorio se haya creado correctamente y esté [activo](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html). Para obtener más información, consulte [Implementación de controladores de dominio adicionales para su Microsoft AD AWS administrado](ms_ad_deploy_additional_dcs.md).
**nota**  
AWS no permite la instalación de agentes de supervisión en los controladores de dominio AWS gestionados de Microsoft AD.
+ Crea un [grupo AWS de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) *sg-1234567890abcdef0* que establece las reglas de red para el tráfico que entra y sale de los controladores de dominio. La regla de salida predeterminada permite que todo el tráfico llegue a todas las IPv4 direcciones. Las reglas de entrada predeterminadas solo permiten el tráfico a través de los puertos que Active Directory requiere desde el bloque IPv4 CIDR principal asociado al alojamiento de VPC para su Microsoft AD administrado AWS . Para mayor seguridad, las ENIs que se crean no tienen Elastic IPs adjunto y usted no tiene permiso para adjuntar una IP elástica a ellas. ENIs Por lo tanto, de forma predeterminada, el único tráfico entrante que puede comunicarse con su Microsoft AD AWS administrado es la VPC local. Puede cambiar las reglas del grupo de seguridad para permitir fuentes de tráfico adicionales, por ejemplo, desde otras que estén conectadas entre sí VPCs o CIDRs a las que se pueda acceder a través de una VPN. Tenga mucho cuidado al intentar cambiar estas reglas, ya que podría perder la capacidad de comunicarse con los controladores de dominio. Para obtener más información, consulte [AWS Mejores prácticas administradas de Microsoft AD](ms_ad_best_practices.md) y [Mejora de la configuración de seguridad de la red AWS gestionada de Microsoft AD](ms_ad_network_security.md).

  Puede usar [listas de prefijos]() para administrar sus bloques de CIDR dentro de las reglas del grupo de seguridad. Las listas de prefijos facilitan la configuración y administración de los grupos de seguridad y las tablas de enrutamiento. Puede consolidar varios bloques de CIDR con el mismo puerto y protocolos para escalar el tráfico de la red.
  + En un entorno de Windows, los clientes suelen comunicarse mediante el [bloque de mensajes del servidor (SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) o el puerto 445. Este protocolo facilita diversas acciones, como el uso compartido de archivos e impresoras y la comunicación general por red. Verá el tráfico de clientes en el puerto 445 hacia las interfaces de administración de sus controladores de dominio AWS gestionados de Microsoft AD.

    Este tráfico se produce cuando los clientes SMB dependen de la resolución de nombres de DNS (puerto 53) y NetBIOS (puerto 138) para localizar los recursos del dominio AWS administrado de Microsoft AD. Estos clientes se dirigen a cualquier interfaz disponible en los controladores de dominio al localizar los recursos del dominio. Este comportamiento es de esperar y suele producirse en entornos con varios adaptadores de red y en los que el [multicanal de SMB](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11)) permite a los clientes establecer conexiones a través de diferentes interfaces para mejorar el rendimiento y la redundancia.

  De forma predeterminada, se crean las siguientes reglas de grupo de AWS seguridad:

  **Reglas entrantes**  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)

  **Reglas salientes**  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
+ Para obtener más información acerca de los puertos y protocolos que utiliza Active Directory, consulte [Service overview and network port requirements for Windows](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports) en la documentación de Microsoft.
+ Crea una cuenta de administrador para el directorio con el nombre de usuario Admin y la contraseña especificada. Esta cuenta se encuentra en la Users OU (por ejemplo, Corp > Usuarios). Esta cuenta se utiliza para administrar su directorio en la nube de Nube de AWS. Para obtener más información, consulte [AWS Permisos gestionados de grupos y cuentas de administrador de Microsoft AD](ms_ad_getting_started_admin_account.md).
**importante**  
Asegúrese de guardar esta contraseña. Directory Service no almacena esta contraseña y no se puede recuperar. Sin embargo, puede restablecer una contraseña desde la Directory Service consola o mediante la [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API.
+ Crea las tres unidades organizativas siguientes (OUs) en la raíz del dominio:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
+ Crea los siguientes grupos en la AWS Delegated Groups OU:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
**nota**  
También puede añadir a estos AWS Delegated Groups.
+ Crea y aplica los siguientes objetos de política de grupo (GPOs):
**nota**  
No tiene permisos para eliminarlos, modificarlos o desvincularlos GPOs. Esto se debe a su diseño, ya que están reservados para su AWS uso. Si es necesario, puede vincularlos a los OUs que controle.   
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)

  Si desea ver la configuración de cada GPO, puede hacerlo desde una instancia de Windows unida a un dominio con la [Consola de administración de políticas de grupo (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)) habilitada.
+ Crea lo siguiente default local accounts para la administración AWS administrada de Microsoft AD:
**importante**  
Asegúrese de guardar la contraseña de administrador. Directory Service no almacena esta contraseña y no se puede recuperar. Sin embargo, [puede restablecer una contraseña desde la Directory Service consola](ms_ad_manage_users_groups_reset_password.md) o mediante la [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API.  
**Admin**  
AdminSe directory administrator account crea cuando se crea por primera vez el Microsoft AD AWS administrado. Debe proporcionar una contraseña para esta cuenta al crear un Microsoft AD AWS administrado. Esta cuenta se encuentra en la Users OU (por ejemplo, Corp > Usuarios). Se utiliza esta cuenta para administrar su Active Directory en la AWS. Para obtener más información, consulte [AWS Permisos gestionados de grupos y cuentas de administrador de Microsoft AD](ms_ad_getting_started_admin_account.md).  
**AWS*\$1*11111111111****  
Cualquier nombre de cuenta que comience por AWS seguido de un carácter de subrayado y esté ubicado en AWS Reserved OU es una cuenta administrada por el servicio. Esta cuenta administrada por el servicio la utiliza AWS para interactuar con Active Directory. Estas cuentas se crean cuando los datos de AWS Directory Service están habilitados y con cada nueva AWS aplicación autorizada en Active Directory. Solo los AWS servicios pueden acceder a estas cuentas.  
**krbtgt account**  
krbtgt accountDesempeña un papel importante en los intercambios de billetes de Kerberos que utiliza su Microsoft AD AWS administrado. La krbtgt account es una cuenta especial que se utiliza para la encriptación del ticket de concesión de ticket (TGT) en Kerberos y desempeña un papel fundamental en la seguridad del protocolo de autenticación Kerberos. Para obtener más información, consulte la [documentación de Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account).   
AWS rota automáticamente la krbtgt account contraseña de su Microsoft AD AWS administrado dos veces cada 90 días. Hay un período de espera de 24 horas entre las dos rotaciones consecutivas cada 90 días.

Para obtener más información sobre la cuenta de administrador y otras cuentas creadas por Active Directory, consulte la [documentación de Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts).

# AWS Permisos gestionados de grupos y cuentas de administrador de Microsoft AD
<a name="ms_ad_getting_started_admin_account"></a>

Al crear un AWS directorio de Directory Service para Microsoft Active Directory, AWS crea una unidad organizativa (OU) para almacenar todos los grupos y cuentas AWS relacionados. Para obtener más información acerca de esta unidad organizativa, consulte [Qué se crea con su Microsoft AD AWS administrado](ms_ad_getting_started_what_gets_created.md). Esto incluye la cuenta Admin. La cuenta Admin tiene permisos para llevar a cabo las siguientes actividades administrativas comunes en la unidad organizativa:
+ Agregar, actualizar o eliminar usuarios, grupos y equipos. Para obtener más información, consulte [Administración de usuarios y grupos en Microsoft AD AWS administrado](ms_ad_manage_users_groups.md). 
+ Añadir recursos a su dominio, como servidores de archivos o de impresión y, a continuación, asignar permisos para esos recursos a usuarios y grupos dentro de la unidad organizativa.
+ Cree contenedores OUs y contenedores adicionales.
+ Delega la autoridad de los contenedores adicionales OUs y los contenedores. Para obtener más información, consulte [Delegación de privilegios de unión a directorios para Microsoft AWS AD administrado](directory_join_privileges.md).
+ Crear y enlazar políticas de grupo.
+ Restaurar objetos eliminados de la papelera de reciclaje de Active Directory.
+ Ejecutar módulos del Active Directory y DNS de PowerShell en el servicio web del Active Directory.
+ Crear y configurar cuentas de servicio administradas por grupos. Para obtener más información, consulte [Cuentas de servicio administradas por grupos](ms_ad_key_concepts.md#ms_ad_key_concepts_gmsa).
+ Configurar una delegación limitada por Kerberos. Para obtener más información, consulte [Delegación limitada de Kerberos](ms_ad_key_concepts.md#ms_ad_key_concepts_kerberos).

La cuenta Admin también tiene derechos para realizar las siguientes actividades en todo el dominio:
+ Administrar configuraciones DNS (agregar, quitar o actualizar registros, zonas y programas de envío).
+ Ver logs de eventos DNS
+ Ver logs de eventos de seguridad

Solo las acciones que se indican aquí se pueden realizar en la cuenta Admin. La cuenta Admin también carece de permisos para cualquier acción relacionada con el directorio fuera de su unidad organizativa específica, como en la unidad organizativa principal.

**Consideraciones**
+ AWS Los administradores de dominio tienen acceso administrativo completo a todos los dominios en los que están alojados AWS. Consulte su acuerdo AWS y las [preguntas frecuentes sobre protección de AWS datos](https://aws.amazon.com/compliance/data-privacy-faq/) para obtener más información sobre cómo AWS gestiona el contenido, incluida la información de los directorios, que almacena en AWS los sistemas.
+ Se recomienda que no elimine ni cambie el nombre de esta cuenta. Si ya no desea utilizar la cuenta, le recomendamos que establezca una contraseña larga (64 caracteres aleatorios, como máximo) y, a continuación, deshabilite la cuenta. 

**nota**  
AWS tiene el control exclusivo de los usuarios y grupos privilegiados del administrador del dominio y del administrador empresarial. Esto le AWS permite realizar una gestión operativa de su directorio. 

## Cuentas con privilegios de administrador de la empresa y administrador del dominio
<a name="privileged_accounts"></a>

AWS cambia automáticamente la contraseña de administrador integrada a una contraseña aleatoria cada 90 días. Cada vez que se solicita la contraseña de administrador integrada para uso humano, se crea un AWS ticket y se registra en el Directory Service equipo. Las credenciales de la cuenta se cifran y se gestionan a través de canales seguros. Además, las credenciales de la cuenta de administrador solo las puede solicitar el equipo Directory Service de administración.

Para realizar la gestión operativa de su directorio, AWS tiene el control exclusivo de las cuentas con privilegios de administrador empresarial y administrador de dominio. Esto incluye el control exclusivo de la cuenta de administrador de Active Directory. AWS protege esta cuenta automatizando la administración de contraseñas mediante el uso de una bóveda de contraseñas. Durante la rotación automática de la contraseña de administrador, AWS crea una cuenta de usuario temporal y le otorga privilegios de administrador de dominio. Esta cuenta temporal se usa como respaldo en caso de que se produzca un error de rotación en la cuenta del administrador. Tras rotar AWS correctamente la contraseña de administrador, AWS elimina la cuenta de administrador temporal.

Normalmente, el directorio AWS funciona completamente mediante la automatización. En el caso de que un proceso de automatización no pueda resolver un problema operativo, es AWS posible que necesite que un ingeniero de soporte inicie sesión en su controlador de dominio (DC) para realizar el diagnóstico. En estos raros casos, AWS implementa un request/notification sistema para conceder el acceso. En este proceso, la AWS automatización crea una cuenta de usuario de tiempo limitado en el directorio que tiene permisos de administrador de dominio. AWS asocia la cuenta de usuario al ingeniero asignado para trabajar en su directorio. AWS registra esta asociación en nuestro sistema de registro y proporciona al ingeniero las credenciales que debe utilizar. Todas las acciones realizadas por el ingeniero se registran en los registros de eventos de Windows. Cuando transcurre el tiempo asignado, la automatización elimina la cuenta de usuario.

Puede monitorizar las acciones administrativas de la cuenta mediante la característica de reenvío de registros del directorio. Esta función le permite reenviar los eventos de AD Security a su CloudWatch sistema, donde puede implementar soluciones de monitoreo. Para obtener más información, consulte [Habilitar el reenvío CloudWatch de registros de Amazon Logs para AWS Managed Microsoft AD](ms_ad_enable_log_forwarding.md).

Todos los eventos de seguridad IDs 4624, 4672 y 4648 se registran cuando alguien inicia sesión en un DC de forma interactiva. Puede ver el registro de eventos de seguridad de Windows de cada controlador de dominio mediante el Visor de eventos de Microsoft Management Console (MMC) desde un equipo Windows unido a un dominio. También [Habilitar el reenvío CloudWatch de registros de Amazon Logs para AWS Managed Microsoft AD](ms_ad_enable_log_forwarding.md) puedes enviar todos los registros de eventos de seguridad a CloudWatch los registros de tu cuenta.

Es posible que, de vez en cuando, veas usuarios creados y eliminados en la OU AWS reservada. AWS es responsable de la administración y la seguridad de todos los objetos de esta unidad organizativa y de cualquier otra unidad organizativa o contenedor en los que no hayamos delegado permisos de acceso y administración. Es posible que vea las creaciones y eliminaciones en esa unidad organizativa. Esto se debe a que Directory Service utiliza la automatización para cambiar la contraseña del administrador del dominio de forma regular. Cuando se rota la contraseña, se crea una copia de seguridad en caso de que se produzca un error en la rotación. Una vez que la rotación se lleva a cabo correctamente, la cuenta de respaldo se elimina automáticamente. Además, en el raro caso de que se necesite un acceso interactivo DCs para solucionar problemas, se crea una cuenta de usuario temporal para que la utilice un Directory Service ingeniero. Cuando el ingeniero complete su trabajo, se eliminará la cuenta de usuario temporal. Tenga en cuenta que cada vez que se solicitan credenciales interactivas para un directorio, se notifica al equipo de Directory Service administración.