Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Commencer à utiliser AWS Managed Microsoft AD
<a name="ms_ad_getting_started"></a>

AWS Managed Microsoft AD crée un environnement entièrement géré, Microsoft Active Directory dans le AWS Cloud et est alimenté par Windows Server 2019 et fonctionne aux niveaux fonctionnels de la forêt et du domaine R2 R2 2012. Lorsque vous créez un annuaire avec AWS Managed Microsoft AD, vous Directory Service créez deux contrôleurs de domaine et ajoutez le service DNS en votre nom. Les contrôleurs de domaine sont créés dans différents sous-réseaux d'un Amazon VPC. Cette redondance permet de garantir que votre répertoire reste accessible même en cas de panne. Si vous avez besoin de contrôleurs de domaine supplémentaires, vous pouvez les ajouter ultérieurement. Pour de plus amples informations, veuillez consulter [Déploiement de contrôleurs de domaine supplémentaires pour votre Microsoft AD AWS géré](ms_ad_deploy_additional_dcs.md).

Pour une démonstration et une présentation de AWS Managed Microsoft AD, visionnez la YouTube vidéo suivante.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla)


**Topics**
+ [Conditions préalables à la création d'un Microsoft AWS AD géré](#ms_ad_getting_started_prereqs)
+ [AWS IAM Identity Center prérequis](#prereq_aws_sso_ms_ad)
+ [Prérequis pour l'authentification multifactorielle](#prereq_mfa_ad)
+ [Création de votre Microsoft AD AWS géré](#ms_ad_getting_started_create_directory)
+ [Qu'est-ce qui est créé avec votre Microsoft AD AWS géré](ms_ad_getting_started_what_gets_created.md)
+ [AWS Compte administrateur Microsoft AD géré et autorisations de groupe](ms_ad_getting_started_admin_account.md)

## Conditions préalables à la création d'un Microsoft AWS AD géré
<a name="ms_ad_getting_started_prereqs"></a>

Pour créer un annuaire Microsoft AD Active Directory AWS géré, vous avez besoin d'un Amazon VPC avec les éléments suivants : 
+ Au moins deux sous-réseaux. Chacun des sous-réseaux doit se trouver dans une zone de disponibilité différente et doit être du même type de réseau.

  Vous pouvez l'utiliser IPv6 pour votre VPC. Pour plus d'informations, consultez la section relative à [la prise en IPv6 charge de votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) dans le guide de l'*utilisateur d'Amazon Virtual Private Cloud*.
+ Le VPC doit avoir la location matérielle par défaut.
+ Vous ne pouvez pas créer un Microsoft AD AWS géré dans un VPC en utilisant les adresses de l'espace d'adressage 198.18.0.0/15.

Si vous devez intégrer votre domaine Microsoft AD AWS géré à un domaine Active Directory local existant, les niveaux fonctionnels de forêt et de domaine de votre domaine local doivent être définis sur Windows Server 2003 ou une version ultérieure.

Directory Service utilise une structure à deux VPC. Les instances EC2 qui constituent votre répertoire s'exécutent en dehors de votre AWS compte et sont gérées par AWS. Elles ont deux cartes réseau, `ETH0` et `ETH1`. `ETH0` est la carte de gestion et existe en dehors de votre compte. `ETH1` est créé au sein de votre compte. 

La plage d'adresses IP de gestion du ETH0 réseau de votre annuaire est 198.18.0.0/15.

Pour un didacticiel sur la création de l' AWS environnement et sur AWS Managed Microsoft AD, consultez[AWS Tutoriels de laboratoire de test Microsoft AD gérés](ms_ad_tutorial_test_lab.md).

## AWS IAM Identity Center prérequis
<a name="prereq_aws_sso_ms_ad"></a>

Si vous envisagez d'utiliser IAM Identity Center avec AWS Managed Microsoft AD, vous devez vous assurer que les conditions suivantes sont réunies :
+ Votre répertoire Microsoft AD AWS géré est configuré dans le compte de gestion de votre AWS organisation.
+ Votre instance d'IAM Identity Center se trouve dans la même région que celle dans laquelle votre répertoire Microsoft AD AWS géré est configuré. 

Pour plus d'informations, consultez les [conditions requises pour IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html) dans le guide de l'*AWS IAM Identity Center utilisateur*.

## Prérequis pour l'authentification multifactorielle
<a name="prereq_mfa_ad"></a>

Pour prendre en charge l'authentification multifactorielle avec votre annuaire Microsoft AD AWS géré, vous devez configurer votre serveur RADIUS ([Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS)) sur site ou basé sur le cloud de la manière suivante afin qu'il puisse accepter les demandes provenant de votre annuaire AWS Microsoft AD géré dans. AWS

1. Sur votre serveur RADIUS, créez deux clients RADIUS pour représenter les deux contrôleurs de domaine Microsoft AD AWS gérés (DCs) dans AWS. Vous devez configurer les deux clients à l'aide des paramètres communs suivants (votre serveur RADIUS peut être différent) :
   + **Adresse (DNS ou IP)** : il s'agit de l'adresse DNS de l'un des AWS services Microsoft AD gérés DCs. Les deux adresses DNS se trouvent dans la console AWS Directory Service sur la page **Détails** de l'annuaire Microsoft AD AWS géré dans lequel vous prévoyez d'utiliser le MFA. Les adresses DNS affichées représentent les adresses IP des deux AWS services Microsoft AD DCs gérés utilisés par AWS.
**Note**  
Si votre serveur RADIUS prend en charge les adresses DNS, vous ne devez créer qu'une seule configuration du client RADIUS. Sinon, vous devez créer une configuration client RADIUS pour chaque Microsoft AD DC AWS géré.
   + **Port number** : configurez le numéro de port sur lequel votre serveur RADIUS accepte les connexions client RADIUS. Le port RADIUS standard est 1812.
   + **Shared secret** : entrez ou générez un secret partagé qui sera utilisé par le serveur RADIUS pour se connecter aux clients RADIUS.
   + **Protocole** : vous devrez peut-être configurer le protocole d'authentification entre le AWS Managed Microsoft AD DCs et le serveur RADIUS. Les protocoles pris en charge sont PAP, CHAP MS- CHAPv1 et MS-. CHAPv2 MS- CHAPv2 est recommandé car il offre la plus grande sécurité des trois options.
   + **Application name** : ce paramètre facultatif sur certains serveurs RADIUS, identifie généralement l'application dans des messages ou des rapports.

1. Configurez votre réseau existant pour autoriser le trafic entrant depuis les clients RADIUS (adresses DCs DNS Microsoft AD AWS gérées, voir étape 1) vers le port de votre serveur RADIUS.

1. Ajoutez une règle au groupe de sécurité Amazon EC2 dans votre domaine AWS Microsoft AD géré qui autorise le trafic entrant depuis l'adresse DNS et le numéro de port du serveur RADIUS définis précédemment. Pour plus d'informations, veuillez consulter la section [Adding rules to a security group](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) (français non garanti) dans le *Guide de l'Utilisateur EC2*.

Pour plus d'informations sur l'utilisation de AWS Managed Microsoft AD avec MFA, consultez. [Activation de l'authentification multifactorielle pour AWS Managed Microsoft AD](ms_ad_mfa.md) 

## Création de votre Microsoft AD AWS géré
<a name="ms_ad_getting_started_create_directory"></a>

Pour créer un nouveau répertoire Microsoft AD Active Directory AWS géré, effectuez les étapes suivantes. Avant de commencer cette procédure, assurez-vous que vous avez terminé les prérequis identifiés dans [Conditions préalables à la création d'un Microsoft AWS AD géré](#ms_ad_getting_started_prereqs). 

**Pour créer un Microsoft AD AWS géré**

1. Dans le panneau de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), choisissez **Annuaires**, puis **Configurer un annuaire**.

1. Sur la page **Select directory type (Sélectionner un type d'annuaire)**, choisissez **AWS Managed Microsoft AD**, puis **Next (Suivant)**.

1. Sur la page **Enter directory information** (Saisir les détails de l'annuaire), renseignez les informations suivantes :  
**Edition**  
Choisissez entre l'**édition Standard ou l'édition** **Enterprise** de AWS Managed Microsoft AD. Pour plus d'informations sur les éditions, veuillez consulter [AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad) (français non garanti).   
**Nom de DNS de l'annuaire**  
Nom complet de l’annuaire, par exemple `corp.example.com`.  
Si vous prévoyez d'utiliser Amazon Route 53 pour le DNS, le nom de domaine de votre AWS Managed Microsoft AD doit être différent de votre nom de domaine Route 53. Des problèmes de résolution DNS peuvent survenir si Route 53 et AWS Managed Microsoft AD partagent le même nom de domaine.  
**Nom NetBIOS de l'annuaire**  
Nom court de l’annuaire, par exemple `CORP`.  
**Description de l'annuaire**  
Description facultative de l’annuaire. Cette description peut être modifiée après avoir créé votre AWS Managed Microsoft AD.  
**Mot de passe administrateur**  
Mot de passe de l’administrateur de l’annuaire. Le processus de création d’un annuaire crée un compte d’administrateur avec le nom d’utilisateur `Admin` et ce mot de passe. Vous pouvez modifier le mot de passe administrateur après avoir créé votre AWS Managed Microsoft AD.  
Ce mot de passe ne peut pas contenir le terme « admin ».   
Le mot de passe de l'administrateur de l'annuaire est sensible à la casse et doit comporter entre 8 et 64 caractères (inclus). Il doit également contenir au moins un caractère de trois des quatre catégories suivantes :  
   + Lettres minuscules (a-z)
   + Lettres majuscules (A-Z)
   + Chiffres (0-9)
   + Caractères non alphanumériques (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)  
**Confirmer le mot de passe**  
Saisissez à nouveau le mot de passe de l’administrateur.  
**(Facultatif) Gestion des utilisateurs et des groupes**  
Pour activer la AWS gestion des utilisateurs et des groupes Microsoft AD depuis le AWS Management Console, sélectionnez **Gérer la gestion des utilisateurs et des groupes dans le AWS Management Console**. Pour plus d'informations sur l'utilisation de la gestion des utilisateurs et des groupes, consultez[Gérez les utilisateurs et les groupes Microsoft AD AWS gérés à l'aide de AWS Management Console AWS CLI, ou Outils AWS pour PowerShell](ms_ad_manage_users_groups_procedures.md).

1. Sur la page **Choose VPC and subnets (Choisir un VPC et des sous-réseaux)**, indiquez les informations suivantes, puis choisissez **Next (Suivant)**.  
**VPC**  
Sélectionnez le VPC pour l'annuaire.  
**Network type** (Type de réseau)  
Le système d'adressage IP (Internet Protocol) associé à votre VPC et à vos sous-réseaux.  
Sélectionnez le bloc CIDR associé à votre VPC existant. Les ressources de votre sous-réseau peuvent être configurées pour être utilisées IPv4 uniquement, IPv6 uniquement ou les deux IPv4 et IPv6 (double pile). Pour plus d'informations, consultez [Compare IPv4 et](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html) le *guide IPv6 de l'utilisateur d'Amazon Virtual Private Cloud*.  
**Sous-réseaux**  
Sélectionnez les sous-réseaux pour les contrôleurs de domaine. Les deux sous-réseaux doivent être dans des zones de disponibilité différentes. 

1. Sur la page **Review & create (Vérifier et créer)**, vérifiez les informations concernant l'annuaire et effectuez les modifications nécessaires. Lorsque les informations sont correctes, choisissez **Create directory** (Créer l'annuaire). La création de l'annuaire prend entre 20 et 40 minutes. Une fois l'annuaire créé, le champ **Statut** prend la valeur **Actif**.

Pour plus d'informations sur ce qui est créé avec votre Microsoft AD AWS géré, consultez ce qui suit :
+ [Qu'est-ce qui est créé avec votre Microsoft AD AWS géré](ms_ad_getting_started_what_gets_created.md)
+ [AWS Compte administrateur Microsoft AD géré et autorisations de groupe](ms_ad_getting_started_admin_account.md)

**Articles AWS de blog sur la sécurité connexes**
+ [Comment déléguer l'administration de votre annuaire Microsoft AD AWS géré à vos utilisateurs Active Directory locaux](https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/)
+ [Comment configurer des politiques de mot de passe encore plus strictes pour répondre à vos normes de sécurité en utilisant Directory Service pour AWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
+ [Comment augmenter la redondance et les performances de AWS Microsoft AD Directory Service pour Managed en ajoutant des contrôleurs de domaine](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/)
+ [Comment activer l'utilisation de postes de travail distants en déployant le gestionnaire de licences de bureau Microsoft à distance sur AWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/)
+ [Comment y accéder à l' AWS Management Console aide de AWS Managed Microsoft AD et de vos informations d'identification locales](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
+ [Comment activer l'authentification multifactorielle pour les AWS services à l'aide de AWS Managed Microsoft AD et d'informations d'identification locales](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
+ [Comment vous connecter facilement aux AWS services à l'aide de votre Active Directory local](https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/)

# Qu'est-ce qui est créé avec votre Microsoft AD AWS géré
<a name="ms_ad_getting_started_what_gets_created"></a>

Lorsque vous créez un Active Directory avec AWS Managed Microsoft AD, Directory Service vous effectuez les tâches suivantes en votre nom :
+ Crée et associe automatiquement une interface réseau Elastic (ENI) à chacun de vos contrôleurs de domaine. Chacun d'entre ENIs eux est essentiel pour la connectivité entre votre VPC et les contrôleurs de Directory Service domaine et ne doit jamais être supprimé. Vous pouvez identifier toutes les interfaces réseau réservées à l'utilisation Directory Service par la description : « interface réseau AWS créée pour le répertoire *directory-id* ». Pour plus d'informations, consultez [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dans le guide de l'*utilisateur Amazon EC2*. Le serveur DNS par défaut de l'annuaire Microsoft AD Active Directory AWS géré est le serveur DNS VPC avec Classless Inter-Domain Routing (CIDR) \$12. Pour plus d'informations, consultez le [serveur Amazon DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS) dans le guide de l'*utilisateur Amazon VPC*.
**Note**  
Les contrôleurs de domaine sont déployés par défaut dans deux zones de disponibilité d'une région et connectés à votre Amazon VPC (VPC). Les sauvegardes sont effectuées automatiquement une fois par jour, et les volumes Amazon EBS (EBS) sont chiffrés pour garantir la sécurité des données au repos. Les contrôleurs de domaine qui échouent sont automatiquement remplacés dans la même zone de disponibilité à l'aide de la même adresse IP, et une reprise après sinistre complète peut être effectuée avec la dernière sauvegarde.
+ Met en service Active Directory dans votre VPC à l'aide de deux contrôleurs de domaine pour la tolérance aux pannes et la haute disponibilité. Des contrôleurs de domaine supplémentaires peuvent être mis en service pour une résilience et des performances supérieures une fois que l'annuaire a été créé avec succès et qu'il est [actif](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html). Pour de plus amples informations, veuillez consulter [Déploiement de contrôleurs de domaine supplémentaires pour votre Microsoft AD AWS géré](ms_ad_deploy_additional_dcs.md).
**Note**  
AWS n'autorise pas l'installation d'agents de surveillance sur les contrôleurs de domaine Microsoft AD AWS gérés.
+ Crée un [groupe AWS de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) *sg-1234567890abcdef0* qui établit des règles réseau pour le trafic entrant et sortant de vos contrôleurs de domaine. La règle de trafic sortant par défaut autorise tout le trafic vers toutes les IPv4 adresses. Les règles entrantes par défaut autorisent uniquement le trafic via les ports requis par Active Directory à partir du bloc IPv4 CIDR principal associé à l'hébergement VPC pour votre Microsoft AD géré AWS . Pour plus de sécurité, ENIs les fichiers créés ne sont pas IPs associés à Elastic et vous n'êtes pas autorisé à y associer une adresse IP élastique ENIs. Par conséquent, par défaut, le seul trafic entrant capable de communiquer avec votre Microsoft AD AWS géré est le VPC local. Vous pouvez modifier les règles du groupe de sécurité pour autoriser des sources de trafic supplémentaires, par exemple en provenance d'autres pairs VPCs ou CIDRs accessibles via un VPN. Soyez extrêmement attentif si vous tentez de modifier ces règles, car vous risquez de ne plus pouvoir communiquer avec vos contrôleurs de domaine. Pour plus d’informations, consultez [AWS Meilleures pratiques en matière de gestion de Microsoft AD](ms_ad_best_practices.md) et [Amélioration de la configuration de sécurité de votre réseau AWS Managed Microsoft AD](ms_ad_network_security.md).

  Vous pouvez utiliser des [listes de préfixes]() pour gérer vos blocs CIDR dans le cadre des règles du groupe de sécurité. Les listes de préfixes facilitent la gestion et la configuration des groupes de sécurité et des tables de routage. Vous pouvez consolider plusieurs blocs CIDR avec le même port et les mêmes protocoles pour augmenter le trafic réseau.
  + Dans un Windows environnement, les clients communiquent souvent via le [serveur SMB (Server Message Block)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) ou le port 445. Ce protocole facilite diverses actions telles que le partage de fichiers et d'imprimantes et la communication réseau générale. Vous verrez le trafic des clients sur le port 445 vers les interfaces de gestion de vos contrôleurs de domaine Microsoft AD AWS gérés.

    Ce trafic se produit lorsque les clients SMB s'appuient sur la résolution de noms DNS (port 53) et NetBIOS (port 138) pour localiser les ressources de votre domaine Microsoft AD AWS géré. Ces clients sont dirigés vers n'importe quelle interface disponible sur les contrôleurs de domaine lors de la localisation des ressources du domaine. Ce comportement est normal et se produit souvent dans les environnements dotés de plusieurs adaptateurs réseau et dans lesquels [SMB Multicanal](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11)) permet aux clients d'établir des connexions via différentes interfaces afin d'améliorer les performances et la redondance.

  Les règles AWS de groupe de sécurité suivantes sont créées par défaut :

  **Règles entrantes**  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)

  **Règles sortantes**  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
+ Pour plus d'informations sur les ports et protocoles utilisés par Active Directory, consultez la section [Présentation des services et exigences relatives aux ports réseau pour Windows](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports) dans Microsoft la documentation.
+ Création d'un compte d'administrateur d'annuaire avec le nom d'utilisateur Admin et le mot de passe spécifié. Ce compte se trouve sous le Users OU (Par exemple, Corp > Users). Vous utilisez ce compte pour gérer votre répertoire dans le AWS Cloud. Pour de plus amples informations, veuillez consulter [AWS Compte administrateur Microsoft AD géré et autorisations de groupe](ms_ad_getting_started_admin_account.md).
**Important**  
N'oubliez pas de sauvegarder ce mot de passe. Directory Service ne stocke pas ce mot de passe et il ne peut pas être récupéré. Vous pouvez toutefois réinitialiser un mot de passe depuis la Directory Service console ou à l'aide de l'[ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API.
+ Crée les trois unités organisationnelles suivantes (OUs) sous la racine du domaine :  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
+ Crée les groupes suivants dans AWS Delegated Groups OU :  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
**Note**  
Vous pouvez en ajouterAWS Delegated Groups.
+ Crée et applique les objets de stratégie de groupe suivants (GPOs) :
**Note**  
Vous n'êtes pas autorisé à les supprimer, les modifier ou les GPOs dissocier. Ceci est intentionnel car ils sont réservés à AWS l'usage. Vous pouvez les lier à OUs celui que vous contrôlez si nécessaire.   
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)

  Si vous souhaitez voir les paramètres de chaque GPO, vous pouvez les afficher à partir d'une instance Windows jointe au domaine avec la [console de gestion des stratégies de groupe (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)) activée.
+ Crée les éléments suivants default local accounts pour AWS la gestion de Microsoft AD :
**Important**  
N'oubliez pas de sauvegarder le mot de passe administrateur. Directory Service ne stocke pas ce mot de passe et il ne peut pas être récupéré. Vous [pouvez toutefois réinitialiser un mot de passe depuis la Directory Service console](ms_ad_manage_users_groups_reset_password.md) ou à l'aide de l'[ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API.  
**Admin**  
AdminIl est directory administrator account créé lorsque le AWS Managed Microsoft AD est créé pour la première fois. Vous fournissez un mot de passe pour ce compte lorsque vous créez un AWS Managed Microsoft AD. Ce compte se trouve sous le Users OU (Par exemple, Corp > Users). Vous utilisez ce compte pour gérer votre Active Directory dans le AWS. Pour de plus amples informations, veuillez consulter [AWS Compte administrateur Microsoft AD géré et autorisations de groupe](ms_ad_getting_started_admin_account.md).  
**AWS*\$1*11111111111****  
Tout nom de compte commençant par un AWS trait de soulignement et situé dans AWS Reserved OU est un compte géré par un service. Ce compte géré par le service est utilisé AWS pour interagir avec Active Directory. Ces comptes sont créés lorsque AWS Directory Service Data est activé et chaque nouvelle AWS application est autorisée sur Active Directory. Ces comptes ne sont accessibles que par les AWS services.  
**krbtgt account**  
Il krbtgt account joue un rôle important dans les échanges de tickets Kerberos utilisés par votre Managed AWS Microsoft AD. krbtgt accountIl s'agit d'un compte spécial utilisé pour le chiffrement des tickets d'octroi de tickets (TGT) Kerberos, et il joue un rôle crucial dans la sécurité du protocole d'authentification Kerberos. Pour plus d'informations, consultez [la documentation Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account).   
AWS fait automatiquement pivoter le krbtgt account mot de passe de votre Microsoft AD AWS géré deux fois tous les 90 jours. Il y a une période d'attente de 24 heures entre les deux rotations consécutives tous les 90 jours.

Pour plus d'informations sur le compte administrateur et les autres comptes créés par Active Directory, consultez [Microsoftla documentation](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts).

# AWS Compte administrateur Microsoft AD géré et autorisations de groupe
<a name="ms_ad_getting_started_admin_account"></a>

Lorsque vous créez un AWS annuaire Directory Service pour Microsoft Active Directory, vous AWS créez une unité organisationnelle (UO) pour stocker tous les groupes et comptes AWS associés. Pour plus d'informations sur cette unité d'organisation, veuillez consulter [Qu'est-ce qui est créé avec votre Microsoft AD AWS géré](ms_ad_getting_started_what_gets_created.md). Cela inclut le compte Admin. Le compte Admin dispose des autorisations pour effectuer les activités administratives courantes suivantes pour votre unité d'organisation :
+ Ajouter, mettre à jour ou supprimer des utilisateurs, des groupes et des ordinateurs. Pour de plus amples informations, veuillez consulter [Gestion des utilisateurs et des groupes dans AWS Managed Microsoft AD](ms_ad_manage_users_groups.md). 
+ Ajouter des ressources à votre domaine, comme des serveurs de fichiers ou d’impression, puis attribuer des autorisations pour ces ressources aux utilisateurs et groupes dans votre unité organisationnelle.
+ Créez OUs des conteneurs supplémentaires.
+ Déléguez le pouvoir des conteneurs supplémentaires OUs et des conteneurs. Pour de plus amples informations, veuillez consulter [Délégation des privilèges de connexion à un annuaire pour AWS Managed Microsoft AD](directory_join_privileges.md).
+ Créer et associer des stratégies de groupes.
+ Restaurer des objets supprimés de la corbeille Active Directory.
+ Exécutez les PowerShell modules Active Directory et DNS sur le service Web Active Directory.
+ Créer et configurer des comptes de services gérés de groupe. Pour de plus amples informations, veuillez consulter [Comptes de service administrés de groupe](ms_ad_key_concepts.md#ms_ad_key_concepts_gmsa).
+ Configurer la délégation Kerberos contrainte. Pour de plus amples informations, veuillez consulter [Délégation Kerberos contrainte](ms_ad_key_concepts.md#ms_ad_key_concepts_kerberos).

Le compte Admin dispose également de droits pour exécuter les activités suivantes au niveau du domaine :
+ Gérer les configurations DNS (ajouter, supprimer ou mettre à jour des enregistrements, des zones et des redirecteurs)
+ Afficher les journaux d’événements DNS
+ Afficher les journaux d’événements de sécurité

Seules les actions répertoriées ici sont autorisées pour le compte Admin. De même, le compte Admin ne détient pas les autorisations liées à toutes les actions sur l'annuaire en dehors de votre unité d'organisation spécifique, comme sur l'unité d'organisation parent.

**Considérations**
+ AWS Les administrateurs de domaine ont un accès administratif complet à tous les domaines hébergés sur AWS. Consultez votre accord AWS et la [FAQ sur la protection AWS des données](https://aws.amazon.com/compliance/data-privacy-faq/) pour plus d'informations sur la manière dont vous AWS gérez le contenu, y compris les informations d'annuaire, que vous stockez sur AWS les systèmes.
+ Nous vous recommandons de ne pas supprimer ou renommer ce compte. Si vous ne souhaitez plus utiliser le compte, nous vous recommandons de définir un mot de passe long (64 caractères aléatoires maximum), puis de désactiver le compte. 

**Note**  
AWS a le contrôle exclusif des utilisateurs et groupes privilégiés de l'administrateur du domaine et de l'administrateur d'entreprise. Cela permet AWS d'effectuer la gestion opérationnelle de votre annuaire. 

## Comptes disposant de droits d'administrateur d'entreprise et de domaine
<a name="privileged_accounts"></a>

AWS remplace automatiquement le mot de passe administrateur intégré par un mot de passe aléatoire tous les 90 jours. Chaque fois que le mot de passe administrateur intégré est demandé pour un usage humain, un AWS ticket est créé et enregistré auprès de l' Directory Service équipe. Les informations d'identification du compte sont chiffrées et traitées via des canaux sécurisés. De plus, les informations d'identification du compte administrateur ne peuvent être demandées que par l'équipe Directory Service de direction.

Pour effectuer la gestion opérationnelle de votre annuaire, AWS vous avez le contrôle exclusif des comptes dotés des privilèges d'administrateur d'entreprise et d'administrateur de domaine. Cela inclut le contrôle exclusif du compte administrateur Active Directory. AWS protège ce compte en automatisant la gestion des mots de passe grâce à l'utilisation d'un coffre-fort de mots de passe. Lors de la rotation automatique du mot de passe administrateur, AWS crée un compte utilisateur temporaire et lui accorde les privilèges d'administrateur de domaine. Ce compte temporaire est utilisé en tant que sauvegarde en cas de défaillance de la rotation du mot de passe du compte administrateur. Après avoir AWS réussi à faire pivoter le mot de passe administrateur, AWS supprime le compte administrateur temporaire.

Normalement AWS , le répertoire est entièrement géré par automatisation. Si un processus d'automatisation ne parvient pas à résoudre un problème opérationnel, vous devrez AWS peut-être demander à un ingénieur de support de se connecter à votre contrôleur de domaine (DC) pour effectuer un diagnostic. Dans ces rares cas, AWS implémente un request/notification système pour accorder l'accès. Au cours de ce processus, AWS l'automatisation crée un compte utilisateur à durée limitée dans votre annuaire doté d'autorisations d'administrateur de domaine. AWS associe le compte utilisateur à l'ingénieur chargé de travailler sur votre annuaire. AWS enregistre cette association dans notre système de journalisation et fournit à l'ingénieur les informations d'identification à utiliser. Toutes les actions réalisées par l'ingénieur sont consignées dans les journaux d'événements Windows. Au terme du temps alloué, l'automatisation supprime le compte utilisateur.

Vous pouvez surveiller les actions du compte administrateur à l'aide de la fonction de transfert de journaux de votre annuaire. Cette fonctionnalité vous permet de transférer les événements de sécurité AD à votre CloudWatch système où vous pouvez mettre en œuvre des solutions de surveillance. Pour de plus amples informations, veuillez consulter [Activation du transfert de CloudWatch journaux Amazon Logs pour AWS Managed Microsoft AD](ms_ad_enable_log_forwarding.md).

Les événements de sécurité IDs 4624, 4672 et 4648 sont tous enregistrés lorsqu'une personne se connecte à un DC de manière interactive. Vous pouvez consulter le journal des événements de sécurité Windows de chaque DC à l'aide de l'Observateur d'événements Microsoft Management Console (MMC) à partir d'un ordinateur Windows joint au domaine. Vous pouvez également [Activation du transfert de CloudWatch journaux Amazon Logs pour AWS Managed Microsoft AD](ms_ad_enable_log_forwarding.md) envoyer tous les journaux des événements de sécurité aux CloudWatch journaux de votre compte.

Il est possible que des utilisateurs soient parfois créés et supprimés au sein de l'unité d'organisation AWS réservée. AWS est responsable de la gestion et de la sécurité de tous les objets de cette unité d'organisation et de toute autre unité d'organisation ou conteneur pour lesquels nous ne vous avons pas délégué les autorisations d'accès et de gestion. Vous pouvez voir des créations et des suppressions dans cette UO. Cela est dû au fait qu'il Directory Service utilise l'automatisation pour alterner régulièrement le mot de passe de l'administrateur de domaine. Lorsque le mot de passe a effectué une rotation, une sauvegarde est créée en cas d'échec de la rotation. Une fois la rotation réussie, le compte de sauvegarde est automatiquement supprimé. De même, dans les rares cas où un accès interactif est nécessaire à des DCs fins de dépannage, un compte utilisateur temporaire est créé pour qu'un Directory Service ingénieur puisse l'utiliser. Une fois qu'un ingénieur aura terminé son travail, le compte utilisateur temporaire sera supprimé. Notez que chaque fois que des informations d'identification interactives sont demandées pour un annuaire, l'équipe Directory Service de direction en est informée.