Cuentas con privilegios de administrador de la empresa y administrador del dominio

Permisos de grupo y de cuenta de administrador de AWS Managed Microsoft AD

Al crear un directorio de AWS Directory Service para Microsoft Active Directory, AWS crea una unidad organizativa (OU) para almacenar todos los grupos y las cuentas relacionados con AWS. Para obtener más información acerca de esta unidad organizativa, consulte ¿Qué se crea con AWS Managed Microsoft AD?. Esto incluye la cuenta Admin. La cuenta Admin tiene permisos para llevar a cabo las siguientes actividades administrativas comunes en la unidad organizativa:

Agregar, actualizar o eliminar usuarios, grupos y equipos. Para obtener más información, consulte Administración de usuarios y grupos en AWS Managed Microsoft AD.
Añadir recursos a su dominio, como servidores de archivos o de impresión y, a continuación, asignar permisos para esos recursos a usuarios y grupos dentro de la unidad organizativa.
Crear unidades organizativas y contenedores adicionales.
Delegar la autoridad de unidades organizativas y contenedores adicionales. Para obtener más información, consulte Delegación de privilegios de vinculación a directorios para AWS Managed Microsoft AD.
Crear y enlazar políticas de grupo.
Restaurar objetos eliminados de la papelera de reciclaje de Active Directory.
Ejecutar módulos del Active Directory y DNS de PowerShell en el servicio web del Active Directory.
Crear y configurar cuentas de servicio administradas por grupos. Para obtener más información, consulte Cuentas de servicio administradas por grupos.
Configurar una delegación limitada por Kerberos. Para obtener más información, consulte Delegación limitada de Kerberos.

La cuenta Admin también tiene derechos para realizar las siguientes actividades en todo el dominio:

Administrar configuraciones DNS (agregar, quitar o actualizar registros, zonas y programas de envío).
Ver logs de eventos DNS
Ver logs de eventos de seguridad

Solo las acciones que se indican aquí se pueden realizar en la cuenta Admin. La cuenta Admin también carece de permisos para cualquier acción relacionada con el directorio fuera de su unidad organizativa específica, como en la unidad organizativa principal.

Consideraciones

AWS Los administradores de dominio de tienen capacidad de acceso administrativo total a todos los dominios alojados en AWS. Consulte su acuerdo con AWS y las preguntas frecuentes acerca de la protección de datos de AWS para obtener más información acerca de cómo AWS administra el contenido, incluida la información del directorio, la cual almacena en los sistemas de AWS.
Se recomienda que no elimine ni cambie el nombre de esta cuenta. Si ya no desea utilizar la cuenta, le recomendamos que establezca una contraseña larga (64 caracteres aleatorios, como máximo) y, a continuación, deshabilite la cuenta.

nota

AWS tiene el control exclusivo de los usuarios y grupos con privilegios del administrador de dominio y del administrador de empresa. Esto permite que AWS realice una administración operativa de su directorio.

Cuentas con privilegios de administrador de la empresa y administrador del dominio

AWS cambia automáticamente la contraseña de administrador integrada a una contraseña aleatoria cada 90 días. Cada vez que se solicita la contraseña de administrador integrada para uso humano, se crea un ticket de AWS y se registra en el equipo de Directory Service. Las credenciales de la cuenta se cifran y se gestionan a través de canales seguros. Además, las credenciales de la cuenta de administrador solo las puede solicitar el equipo de administración de Directory Service.

Para la administración operativa del directorio, AWS dispone de un control exclusivo de cuentas con privilegios de administrador de la empresa y administrador del dominio. Esto incluye el control exclusivo de la cuenta de administrador del Active Directory. AWS protege esta cuenta al automatizar la administración de contraseñas con el uso de una bóveda de contraseñas. Durante la rotación automatizada de la contraseña de administrador, AWS crea una cuenta de usuario temporal y le concede privilegios de administrador del dominio. Esta cuenta temporal se usa como respaldo en caso de que se produzca un error de rotación en la cuenta del administrador. Una vez que AWS rota correctamente la contraseña de administrador, AWS elimina la cuenta de administrador temporal.

Normalmente, AWS opera el directorio totalmente a través de la automatización. En caso de que un proceso de automatización no pueda resolver un problema de funcionamiento, es posible que AWS necesite que un ingeniero de soporte se conecte a su controlador de dominio para llevar a cabo diagnósticos. En estos casos excepcionales, AWS implementa un sistema de solicitud/notificación para conceder acceso. En este proceso, la automatización de AWS crea una cuenta de usuario de tiempo limitado en el directorio que tiene permisos de administrador de dominio. AWS asocia la cuenta de usuario al ingeniero asignado para trabajar en su directorio. AWS registra esta asociación en nuestro sistema de registro y proporciona al ingeniero las credenciales que debe utilizar. Todas las acciones realizadas por el ingeniero se registran en los registros de eventos de Windows. Cuando transcurre el tiempo asignado, la automatización elimina la cuenta de usuario.

Puede monitorizar las acciones administrativas de la cuenta mediante la característica de reenvío de registros del directorio. Esta característica le permite reenviar los eventos de AD Security a su sistema de CloudWatch. donde puede implementar soluciones de monitorización. Para obtener más información, consulte Habilitación del reenvío de registros de Amazon CloudWatch del AWS Managed Microsoft AD.

Todos los ID de eventos de seguridad 4624, 4672 y 4648 se registran cuando alguien inicia sesión en un centro de distribución de forma interactiva. Puede ver el registro de eventos de seguridad de Windows de cada controlador de dominio mediante el Visor de eventos de Microsoft Management Console (MMC) desde un equipo Windows unido a un dominio. También puede llevar a cabo la acción Habilitación del reenvío de registros de Amazon CloudWatch del AWS Managed Microsoft AD para enviar todos los registros de eventos de seguridad a Registros de CloudWatch de su cuenta.

Es posible que, de vez en cuando, vea usuarios creados y eliminados dentro de la unidad organizativa reservada de AWS. AWS es responsable de la administración y la seguridad de todos los objetos de esta o cualquier otra unidad organizativa y contenedor en los que no hayamos delegado permisos de acceso y administración. Es posible que vea las creaciones y eliminaciones en esa unidad organizativa. Esto se debe a que Directory Service utiliza la automatización para cambiar la contraseña del administrador del dominio de forma regular. Cuando se rota la contraseña, se crea una copia de seguridad en caso de que se produzca un error en la rotación. Una vez que la rotación se lleva a cabo correctamente, la cuenta de respaldo se elimina automáticamente. Además, en el raro caso de que se necesite un acceso interactivo a los controladores de dominio para solucionar problemas, se crea una cuenta de usuario temporal para que la utilice un ingeniero de Directory Service. Cuando el ingeniero complete su trabajo, se eliminará la cuenta de usuario temporal. Tenga en cuenta que cada vez que se solicitan credenciales interactivas para un directorio, se notifica al equipo de administración de Directory Service.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

¿Qué se crea con AWS Managed Microsoft AD?

Conceptos clave y prácticas recomendadas