¿Qué se crea con AWS Managed Microsoft AD? - AWS Directory Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Qué se crea con AWS Managed Microsoft AD?

Al crear un Active Directory con Microsoft AD AWS administrado, Directory Service realiza las siguientes tareas en su nombre:

  • Crea y asocia automáticamente una interfaz de red elástica (ENI) a cada uno de sus controladores de dominio. Cada uno de ENIs ellos es esencial para la conectividad entre la VPC y los controladores de Directory Service dominio y nunca debe eliminarse. Puede identificar todas las interfaces de red reservadas para su uso Directory Service mediante la descripción: «interfaz de red AWS creada para el identificador del directorio». Para obtener más información, consulte Elastic Network Interfaces en la Guía del EC2 usuario de Amazon. El servidor DNS predeterminado del Active Directory AWS administrado de Microsoft AD es el servidor DNS de la VPC en el enrutamiento entre dominios sin clase (CIDR) +2. Para obtener más información, consulte Servidor DNS de Amazon en la Guía del usuario de Amazon VPC.

    nota

    Los controladores de dominio se implementan de manera predeterminada en dos zonas de disponibilidad dentro de una región y se conectan a la Amazon VPC (Virtual Private Cloud). Las copias de seguridad se hacen en forma automática una vez al día y los volúmenes de Amazon EBS (EBS) se cifran para garantizar la seguridad de los datos en reposo. Los controladores de dominio que tienen errores se sustituyen automáticamente en la misma zona de disponibilidad con la misma dirección IP y se puede llevar a cabo una recuperación de desastres completa con la última copia de seguridad.

  • Aprovisiona Active Directory dentro de la VPC mediante dos controladores de dominio para tolerancia a errores y alta disponibilidad. Se pueden aprovisionar más controladores de dominio para mayor resiliencia y rendimiento después de que el directorio se haya creado correctamente y esté activo. Para obtener más información, consulte Implementación de controladores de dominio adicionales para el AWS Managed Microsoft AD.

    nota

    AWSno permite la instalación de agentes de supervisión en los controladores de dominio AWS gestionados de Microsoft AD.

  • Crea un grupo AWS de seguridad sg-1234567890abcdef0 que establece las reglas de red para el tráfico que entra y sale de los controladores de dominio. La regla de salida predeterminada permite que todo el tráfico llegue a todas las IPv4 direcciones. Las reglas de entrada predeterminadas solo permiten el tráfico a través de los puertos que Active Directory requiere desde el bloque IPv4 CIDR principal asociado al alojamiento de VPC para su Microsoft AD administradoAWS. Para mayor seguridad, las ENIs que se crean no tienen Elastic IPs adjunto y usted no tiene permiso para adjuntar una IP elástica a ellas. ENIs Por lo tanto, de forma predeterminada, el único tráfico entrante que puede comunicarse con su Microsoft AD AWS administrado es la VPC local. Puede cambiar las reglas del grupo de seguridad para permitir fuentes de tráfico adicionales, por ejemplo, desde otras que estén conectadas entre sí VPCs o CIDRs a las que se pueda acceder a través de una VPN. Tenga mucho cuidado al intentar cambiar estas reglas, ya que podría perder la capacidad de comunicarse con los controladores de dominio. Para obtener más información, consulte AWSMejores prácticas administradas de Microsoft AD y Mejora de la configuración de seguridad de red del AWS Managed Microsoft AD.

    Puede usar listas de prefijos para administrar sus bloques de CIDR dentro de las reglas del grupo de seguridad. Las listas de prefijos facilitan la configuración y administración de los grupos de seguridad y las tablas de enrutamiento. Puede consolidar varios bloques de CIDR con el mismo puerto y protocolos para escalar el tráfico de la red.

    • En un entorno de Windows, los clientes suelen comunicarse mediante el bloque de mensajes del servidor (SMB) o el puerto 445. Este protocolo facilita diversas acciones, como el uso compartido de archivos e impresoras y la comunicación general por red. Verá el tráfico de clientes en el puerto 445 hacia las interfaces de administración de sus controladores de dominio AWS gestionados de Microsoft AD.

      Este tráfico se produce cuando los clientes SMB utilizan la resolución de nombres de DNS (puerto 53) y NetBIOS (puerto 138) para localizar los recursos del dominio AWS administrado de Microsoft AD. Estos clientes se dirigen a cualquier interfaz disponible en los controladores de dominio al localizar los recursos del dominio. Este comportamiento es de esperar y suele producirse en entornos con varios adaptadores de red y en los que el multicanal de SMB permite a los clientes establecer conexiones a través de diferentes interfaces para mejorar el rendimiento y la redundancia.

    De forma predeterminada, se crean las siguientes reglas de grupo de AWS seguridad:

    Reglas entrantes

    Protocolo Intervalo de puertos origen Tipo de tráfico Uso de Active Directory
    ICMP N/A AWSCIDR de IPv4 VPC de Microsoft AD gestionado Ping LDAP Keep Alive, DFS
    TCP y UDP 53 AWSCIDR de IPv4 VPC de Microsoft AD gestionado DNS Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza
    TCP y UDP 88 AWSCIDR de IPv4 VPC de Microsoft AD gestionado Kerberos Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque
    TCP y UDP 389 AWSCIDR de IPv4 VPC de Microsoft AD gestionado LDAP Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza
    TCP y UDP 445 AWSCIDR de IPv4 VPC de Microsoft AD gestionado SMB/CIFS Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    TCP y UDP 464 AWSCIDR de IPv4 VPC de Microsoft AD gestionado Cambiar/establecer contraseña de Kerberos Replicación, autenticación de usuarios y equipos, relaciones de confianza
    TCP 135 AWSCIDR de IPv4 VPC de Microsoft AD gestionado Replicación RPC, EPM
    TCP 636 AWSCIDR de IPv4 VPC de Microsoft AD gestionado LDAP SSL Directorio, replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    TCP 1024 - 65535 AWSCIDR de IPv4 VPC de Microsoft AD gestionado RPC Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    TCP 3268 - 3269 AWSCIDR de IPv4 VPC de Microsoft AD gestionado LDAP GC y LDAP GC SSL Directorio, replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    UDP 123 AWSCIDR de IPv4 VPC de Microsoft AD gestionado Hora de Windows Hora de Windows, relaciones de confianza
    UDP 138 AWSCIDR de IPv4 VPC de Microsoft AD gestionado DFSN Y NetLogon DFS, política de grupo
    Todos Todos AWScreó un grupo de seguridad para controladores de dominio () sg-1234567890abcdef0 All Traffic

    Reglas salientes

    Protocolo Rango de puerto Destino Tipo de tráfico Uso de Active Directory
    Todos Todos 0.0.0.0/0 All Traffic

  • Para obtener más información acerca de los puertos y protocolos que utiliza Active Directory, consulte Service overview and network port requirements for Windows en la documentación de Microsoft.

  • Crea una cuenta de administrador para el directorio con el nombre de usuario Admin y la contraseña especificada. Esta cuenta se encuentra en la Users OU (por ejemplo, Corp > Usuarios). Esta cuenta se utiliza para administrar su directorio en la nube de Nube de AWS. Para obtener más información, consulte Permisos de grupo y de cuenta de administrador de AWS Managed Microsoft AD.

    importante

    Asegúrese de guardar esta contraseña. Directory Serviceno almacena esta contraseña y no se puede recuperar. Sin embargo, puede restablecer una contraseña desde la Directory Service consola o mediante la ResetUserPasswordAPI.

  • Crea las tres unidades organizativas siguientes (OUs) en la raíz del dominio:

    Nombre de OU Description (Descripción)

    AWSDelegated Groups

    		 Almacena todos los grupos que puedes usar para delegar permisos AWS específicos a tus usuarios.
    AWSReserved Almacena todas las cuentas específicas de AWS administración.
    <su-nombre-de-dominio> El nombre de esta OU se basa en el nombre NetBIOS que escribió cuando creó el directorio. Si no especificó un nombre NetBIOS, este será de forma predeterminada la primera parte del nombre de DNS del directorio (por ejemplo, en el caso de corp.example.com, el nombre NetBIOS sería corp). Esta OU es propiedad de todos sus objetos de directorio AWS relacionados AWS y los contiene, sobre los que tiene el control total. De forma predeterminada OUs , en esta unidad organizativa hay dos elementos secundarios: ordenadores y usuarios. Por ejemplo:

    • Corp

      • Computers

      • Users

  • Crea los siguientes grupos en la AWSDelegated Groups OU:

    Nombre del grupo Description (Descripción)
    AWSDelegated Account Operators Los miembros de este grupo de seguridad tienen una capacidad de administración de cuentas limitada, por ejemplo, a restablecer contraseñas

    AWSDelegated Active Directory Based Activation Administrators

    Los miembros de este grupo de seguridad pueden crear objetos de activación de licencias por volumen de Active Directory, lo que permite a las empresas activar equipos mediante una conexión con sus dominios.
    AWSDelegated Add Workstations To Domain Users Los miembros de este grupo de seguridad puede unir 10 equipos a un dominio.
    AWSDelegated Administrators Los miembros de este grupo de seguridad pueden administrar Microsoft AD AWS administrado, tener el control total de todos los objetos de la unidad organizativa y administrar los grupos contenidos en laAWS Delegated Groups OU.
    AWSDelegated Allowed to Authenticate Objects Los miembros de este grupo de seguridad tienen la capacidad de autenticarse en los recursos del equipo de la AWSReserved OU (solo es necesario para objetos en las instalaciones con relaciones de confianza habilitadas para autenticación selectiva).
    AWSDelegated Allowed to Authenticate to Domain Controllers Los miembros de este grupo de seguridad tienen la capacidad de autenticarse en los recursos del equipo de la Domain Controllers OU (solo es necesario para objetos en las instalaciones con relaciones de confianza habilitadas para autenticación selectiva).

    AWSDelegated Deleted Object Lifetime Administrators

    Los miembros de este grupo de seguridad pueden modificar el objeto msDS-DeletedObjectLifetime, que define el periodo que un objeto eliminado estará disponible para su recuperación en la papelera de reciclaje de AD.
    AWSDelegated Distributed File System Administrators Los miembros de este grupo de seguridad pueden agregar y eliminar espacios de nombres FRS, DFS-R y DFS.
    AWSDelegated Domain Name System Administrators Los miembros de este grupo de seguridad pueden administrar el DNS integrado de Active Directory.
    AWSDelegated Dynamic Host Configuration Protocol Administrators Los miembros de este grupo de seguridad pueden autorizar los servidores DHCP de Windows en la compañía.
    AWSDelegated Enterprise Certificate Authority Administrators Los miembros de este grupo de seguridad pueden implementar y administrar la infraestructura de la entidad de certificación de empresa de Microsoft.
    AWSDelegated Fine Grained Password Policy Administrators Los miembros de este grupo de seguridad pueden modificar las políticas de contraseñas específicas creadas previamente.
    AWSDelegated FSx Administrators Los miembros de este grupo de seguridad tienen la posibilidad de gestionar FSx los recursos de Amazon.
    AWSDelegated Group Policy Administrators Los miembros de este grupo de seguridad pueden realizar tareas de administración de las políticas de grupo (crear, editar, eliminar, vincular, etc.).
    AWSDelegated Kerberos Delegation Administrators Los miembros de este grupo de seguridad pueden habilitar la delegación en los objetos de equipos y cuentas de usuario.
    AWSDelegated Managed Service Account Administrators Los miembros de este grupo de seguridad pueden crear y eliminar cuentas de servicio administradas.
    AWSDelegated MS-NPRC Non-Compliant Devices Los miembros de este grupo de seguridad no podrán exigir comunicaciones por canales seguros con los controladores de dominio. Este grupo es para cuentas de equipos.
    AWSDelegated Remote Access Service Administrators Los miembros de este grupo de seguridad pueden agregar y eliminar servidores RAS del grupo de servidores RAS e IAS.
    AWSDelegated Replicate Directory Changes Administrators Los miembros de este grupo de seguridad pueden sincronizar la información del perfil en Active Directory con el SharePoint servidor.
    AWSDelegated Server Administrators Los miembros de este grupo de seguridad se incluyen en el grupo de administradores locales en todos los equipos unidos al dominio.
    AWSDelegated Sites and Services Administrators Los miembros de este grupo de seguridad pueden cambiar el nombre del Default-First-Site-Name objeto en los sitios y servicios de Active Directory.
    AWSDelegated System Management Administrators Los miembros de este grupo de seguridad pueden crear y administrar objetos en el contenedor de administración del sistema.
    AWSDelegated Terminal Server Licensing Administrators Los miembros de este grupo de seguridad pueden agregar y eliminar servidores de licencias de Terminal Server del grupo de servidores de licencias de Terminal Server.
    AWSDelegated User Principal Name Suffix Administrators Los miembros de este grupo de seguridad pueden agregar y eliminar sufijos de nombre principal de usuario.
    nota

    También puede añadir a estos AWSDelegated Groups.

  • Crea y aplica los siguientes objetos de política de grupo (GPOs):

    nota

    No tiene permisos para eliminarlos, modificarlos o desvincularlos GPOs. Esto se debe a su diseño, ya que están reservados para su AWS uso. Si es necesario, puede vincularlos a los OUs que controle.

    Nombre de política de grupo Aplica a Description (Descripción)
    Default Domain Policy Dominio Incluye la contraseña de dominio y las políticas Kerberos.
    ServerAdmins Todas las cuentas de equipo que no sean controladores de dominios Agrega 'AWSDelegated Server Administrators' como miembro del BUILTIN\Administrators Group.
    AWSReserved Policy:User AWSReserved user accounts Establece la configuración de seguridad recomendada en todas las cuentas de usuario de la AWS Reserved OU.
    AWSManaged Active Directory Policy Todos los controladores de dominio Establece la configuración de seguridad recomendada en todos los controladores de dominio.
    TimePolicyNT5DS Todos los controladores que no son PDCe de dominio Establece la política horaria de todos los controladores que no son de PDCe dominio para usar Windows Time (NT5DS).
    TimePolicyPDC El controlador PDCe de dominio Establece la política horaria del controlador de PDCe dominio para usar el Protocolo de tiempo de red (NTP).
    Default Domain Controllers Policy No se utiliza Aprovisionada durante la creación del dominio, la política de Active Directory AWS administrada se utiliza en su lugar.

    Si desea ver la configuración de cada GPO, puede hacerlo desde una instancia de Windows unida a un dominio con la Consola de administración de políticas de grupo (GPMC) habilitada.

  • Crea lo siguiente default local accounts para la administración AWS administrada de Microsoft AD:

    importante

    Asegúrese de guardar la contraseña de administrador. Directory Serviceno almacena esta contraseña y no se puede recuperar. Sin embargo, puede restablecer una contraseña desde la Directory Service consola o mediante la ResetUserPasswordAPI.

    Admin

    AdminSe directory administrator account crea cuando se crea por primera vez el Microsoft AD AWS administrado. Debe proporcionar una contraseña para esta cuenta al crear un Microsoft AD AWS administrado. Esta cuenta se encuentra en la Users OU (por ejemplo, Corp > Usuarios). Se utiliza esta cuenta para administrar su Active Directory en la AWS. Para obtener más información, consulte Permisos de grupo y de cuenta de administrador de AWS Managed Microsoft AD.

    AWS_11111111111

    Cualquier nombre de cuenta que comience por AWS seguido de un carácter de subrayado y esté ubicado en AWSReserved OU es una cuenta administrada por el servicio. Esta cuenta administrada por el servicio la utiliza AWS para interactuar con Active Directory. Estas cuentas se crean cuando los datos de AWS Directory Service están habilitados y con cada nueva AWS aplicación autorizada en Active Directory. Solo los AWS servicios pueden acceder a estas cuentas.

    krbtgt account

    krbtgt accountDesempeña un papel importante en los intercambios de billetes de Kerberos que utiliza su Microsoft AD AWS administrado. La krbtgt account es una cuenta especial que se utiliza para la encriptación del ticket de concesión de ticket (TGT) en Kerberos y desempeña un papel fundamental en la seguridad del protocolo de autenticación Kerberos. Para obtener más información, consulte la documentación de Microsoft.

    AWSrota automáticamente la krbtgt account contraseña de su Microsoft AD AWS administrado dos veces cada 90 días. Hay un período de espera de 24 horas entre las dos rotaciones consecutivas cada 90 días.

Para obtener más información sobre la cuenta de administrador y otras cuentas creadas por Active Directory, consulte la documentación de Microsoft.