Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memulai dengan Microsoft AD yang AWS Dikelola
<a name="ms_ad_getting_started"></a>

AWS Microsoft AD yang dikelola sepenuhnya menciptakan yang dikelola sepenuhnya, Microsoft Active Directory di AWS Cloud dan didukung oleh Windows Server 2019 dan beroperasi pada tingkat fungsional Hutan dan Domain R2 2012. Saat Anda membuat direktori dengan Microsoft AD AWS Terkelola, Directory Service buat dua pengontrol domain dan tambahkan layanan DNS atas nama Anda. Pengontrol domain dibuat dalam subnet yang berbeda di VPC Amazon, redundansi ini membantu memastikan bahwa direktori Anda tetap dapat diakses bahkan jika terjadi kegagalan. Jika Anda membutuhkan lebih banyak pengendali domain, Anda dapat menambahkannya nanti. Untuk informasi selengkapnya, lihat [Menerapkan pengontrol domain tambahan untuk AWS Microsoft AD yang Dikelola](ms_ad_deploy_additional_dcs.md).

Untuk demo dan ikhtisar Microsoft AD yang AWS Dikelola, lihat YouTube video berikut.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla)


**Topics**
+ [Prasyarat untuk membuat iklan Microsoft yang Dikelola AWS](#ms_ad_getting_started_prereqs)
+ [AWS IAM Identity Center prasyarat](#prereq_aws_sso_ms_ad)
+ [Prasyarat autentikasi multi-faktor](#prereq_mfa_ad)
+ [Membuat Microsoft AD yang AWS Dikelola](#ms_ad_getting_started_create_directory)
+ [Apa yang dibuat dengan Microsoft AD yang AWS Dikelola](ms_ad_getting_started_what_gets_created.md)
+ [AWS Akun Administrator Microsoft AD yang dikelola dan izin grup](ms_ad_getting_started_admin_account.md)

## Prasyarat untuk membuat iklan Microsoft yang Dikelola AWS
<a name="ms_ad_getting_started_prereqs"></a>

Untuk membuat Direktori Aktif Microsoft AD AWS Terkelola, Anda memerlukan VPC Amazon dengan yang berikut ini: 
+ Setidaknya dua subnet. Masing-masing subnet harus berada di Availability Zone yang berbeda dan harus dari jenis jaringan yang sama.

  Anda dapat menggunakan IPv6 untuk VPC Anda. Untuk informasi selengkapnya, lihat [IPv6 dukungan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) di *Panduan Pengguna Amazon Virtual Private Cloud*.
+ VPC harus memiliki penghunian perangkat keras default.
+ Anda tidak dapat membuat iklan Microsoft AWS Terkelola di VPC menggunakan alamat di ruang alamat 198.18.0.0/15.

Jika Anda perlu mengintegrasikan domain Microsoft AD AWS Terkelola dengan domain Active Directory lokal yang ada, Anda harus memiliki tingkat fungsional Forest dan Domain untuk domain lokal yang disetel ke Windows Server 2003 atau yang lebih tinggi.

Directory Service menggunakan dua struktur VPC. Instans EC2 yang membentuk direktori Anda berjalan di luar AWS akun Anda, dan dikelola oleh. AWS Mereka memiliki dua adaptor jaringan, `ETH0` dan `ETH1`. `ETH0` adalah adaptor pengelola, dan berada di luar akun Anda. `ETH1` dibuat dalam akun Anda. 

Rentang IP manajemen ETH0 jaringan direktori Anda adalah 198.18.0.0/15.

Untuk tutorial tentang cara membuat AWS lingkungan dan AWS Dikelola Microsoft AD, lihat[AWS Tutorial lab uji Microsoft AD yang dikelola](ms_ad_tutorial_test_lab.md).

## AWS IAM Identity Center prasyarat
<a name="prereq_aws_sso_ms_ad"></a>

Jika Anda berencana untuk menggunakan Pusat Identitas IAM dengan Microsoft AD yang AWS Dikelola, Anda perlu memastikan bahwa berikut ini benar:
+ Direktori Microsoft AD AWS Terkelola Anda disiapkan di akun manajemen AWS organisasi Anda.
+ Instance Pusat Identitas IAM Anda berada di Wilayah yang sama tempat direktori Microsoft AD AWS Terkelola Anda disiapkan. 

*Untuk informasi selengkapnya, lihat [prasyarat Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html) di Panduan Pengguna.AWS IAM Identity Center *

## Prasyarat autentikasi multi-faktor
<a name="prereq_mfa_ad"></a>

Untuk mendukung autentikasi multi-faktor dengan direktori AWS Microsoft AD Terkelola, Anda harus mengonfigurasi server [Layanan Pengguna Dial-In (RADIUS) Autentikasi Jarak Jauh](https://en.wikipedia.org/wiki/RADIUS) (RADIUS) lokal atau berbasis Internet dengan cara berikut agar dapat menerima permintaan dari direktori Microsoft AD yang Dikelola di. AWS AWS

1. Di server RADIUS Anda, buat dua klien RADIUS untuk mewakili kedua pengontrol domain Microsoft AD AWS Terkelola (DCs) di AWS. Anda harus mengkonfigurasi kedua klien menggunakan parameter umum berikut (server RADIUS Anda dapat bervariasi):
   + **Alamat (DNS atau IP)**: Ini adalah alamat DNS untuk salah satu iklan AWS Microsoft yang Dikelola. DCs Kedua alamat DNS dapat ditemukan di AWS Directory Service Console pada halaman **Detail** direktori Microsoft AD yang AWS dikelola tempat Anda berencana untuk menggunakan MFA. Alamat DNS yang ditampilkan mewakili alamat IP untuk kedua AD Microsoft AWS Terkelola DCs yang digunakan oleh AWS.
**catatan**  
Jika server RADIUS mendukung alamat DNS, Anda harus membuat hanya satu konfigurasi klien RADIUS. Jika tidak, Anda harus membuat satu konfigurasi klien RADIUS untuk setiap Microsoft AD DC yang AWS Dikelola.
   + **Angka port**: Mengkonfigurasi nomor port yang server RADIUS Anda menerima koneksi klien RADIUS. Port RADIUS standar adalah 1812.
   + **Rahasia bersama**: Ketik atau buat rahasia bersama yang server RADIUS akan gunakan untuk terhubung dengan klien RADIUS.
   + **Protokol**: Anda mungkin perlu mengonfigurasi protokol otentikasi antara Microsoft AD yang AWS Dikelola DCs dan server RADIUS. Protokol yang didukung adalah PAP, CHAP MS-CHAPv1, dan MS-. CHAPv2 MS- CHAPv2 direkomendasikan karena memberikan keamanan terkuat dari tiga opsi.
   + **Nama aplikasi**: Ini mungkin opsional di beberapa server RADIUS dan biasanya mengidentifikasi aplikasi dalam pesan atau laporan.

1. Konfigurasikan jaringan yang ada untuk mengizinkan lalu lintas masuk dari klien RADIUS (Alamat DCs DNS Microsoft AD yang AWS dikelola, lihat Langkah 1) ke port server RADIUS Anda.

1. Tambahkan aturan ke grup keamanan Amazon EC2 di domain AWS Microsoft AD Terkelola yang memungkinkan lalu lintas masuk dari alamat DNS server RADIUS dan nomor port yang ditentukan sebelumnya. Untuk informasi selengkapnya, lihat [Menambahkan aturan ke sebuah grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) di *Panduan Pengguna EC2*.

Untuk informasi selengkapnya tentang menggunakan Microsoft AD yang AWS Dikelola dengan MFA, lihat. [Mengaktifkan otentikasi multi-faktor untuk Microsoft AD yang Dikelola AWS](ms_ad_mfa.md) 

## Membuat Microsoft AD yang AWS Dikelola
<a name="ms_ad_getting_started_create_directory"></a>

Untuk membuat Direktori Aktif Microsoft AD AWS Terkelola baru, lakukan langkah-langkah berikut. Sebelum memulai prosedur ini, pastikan Anda telah menyelesaikan prasyarat yang diidentifikasi dalam [Prasyarat untuk membuat iklan Microsoft yang Dikelola AWS](#ms_ad_getting_started_prereqs). 

**Untuk membuat iklan Microsoft yang AWS Dikelola**

1. Di panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**, lalu pilih **Atur direktori**.

1. Di halaman **Pilih jenis direktori**, pilih **Microsoft AD yang Dikelola AWS **, lalu pilih **Selanjutnya**.

1. Di halaman **Masukkan informasi direktori**, berikan informasi berikut:  
**Edisi**  
Pilih dari **Edisi Standar atau Edisi** **Perusahaan** dari Microsoft AD yang AWS Dikelola. Untuk informasi selengkapnya tentang edisi, lihat [Directory Service AWS untuk Microsoft Active Directory](what_is.md#microsoftad).   
**Nama DNS direktori**  
Nama berkualifikasi penuh untuk direktori, seperti `corp.example.com`.  
Jika Anda berencana menggunakan Amazon Route 53 untuk DNS, nama domain Microsoft AD yang AWS Dikelola harus berbeda dengan nama domain Route 53 Anda. Masalah resolusi DNS dapat terjadi jika Route 53 dan Microsoft AD yang AWS dikelola berbagi nama domain yang sama.  
**Direktori nama NetBIOS**  
Nama singkat untuk direktori, seperti `CORP`.  
**Deskripsi direktori**  
Deskripsi opsional untuk direktori. Deskripsi ini dapat diubah setelah membuat iklan Microsoft AWS Terkelola Anda.  
**Kata sandi admin**  
Kata sandi administrator direktori. Proses pembuatan direktori menciptakan akun administrator dengan nama pengguna `Admin` dan kata sandi ini. Anda dapat mengubah kata sandi Admin setelah membuat iklan Microsoft AWS Terkelola.  
Kata sandi tidak dapat menyertakan kata "admin."   
Kata sandi administrator direktori peka akan huruf besar kecil dan harus terdiri dari 8 sampai 64 karakter, inklusif. Kata sandi juga harus berisi minimal satu karakter dalam tiga dari empat kategori berikut:  
   + Huruf kecil (a-z)
   + Huruf besar (A-Z)
   + Angka (0-9)
   + Karakter non-alfanumerik (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)  
**Konfirmasikan kata sandi**  
Ketik ulang kata sandi administrator.  
**(Opsional) Manajemen pengguna dan grup**  
Untuk mengaktifkan AWS pengelolaan pengguna dan grup Microsoft AD Terkelola dari Konsol Manajemen AWS, pilih **Kelola pengguna dan manajemen grup di Konsol Manajemen AWS**. Untuk informasi selengkapnya tentang cara menggunakan manajemen pengguna dan grup, lihat[AWS Mengelola pengguna dan grup Microsoft AD yang Dikelola dengan Konsol Manajemen AWS, AWS CLI, atau Alat AWS untuk PowerShell](ms_ad_manage_users_groups_procedures.md).

1. Pada halaman **Pilih VPC dan subnet**, berikan informasi berikut ini, lalu pilih **Selanjutnya**.  
**VPC**  
Pilih VPC untuk direktori.  
**Jenis jaringan**  
Sistem pengalamatan Internet Protocol (IP) yang terkait dengan VPC dan subnet Anda.  
Pilih blok CIDR yang terkait dengan VPC Anda yang ada. Sumber daya di subnet Anda dapat dikonfigurasi untuk IPv4 hanya menggunakan, IPv6 hanya, atau keduanya IPv4 dan IPv6 (dual-stack). Untuk informasi selengkapnya, lihat [Bandingkan IPv4 dan IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html) di *Panduan Pengguna Amazon Virtual Private Cloud*.  
**Subnet**  
Pilih subnet untuk pengontrol domain. Kedua subnet harus berada di Zona Ketersediaan yang berbeda. 

1. Pada halaman **Tinjau & buat**, tinjau informasi direktori dan buat perubahan yang diperlukan. Jika informasi sudah benar, pilih **Buat direktori**. Membuat direktori membutuhkan waktu 20 sampai 40 menit. Setelah dibuat, nilai **Status** berubah ke **Aktif**.

Untuk informasi selengkapnya tentang apa yang dibuat dengan Microsoft AD yang AWS Dikelola, lihat berikut ini:
+ [Apa yang dibuat dengan Microsoft AD yang AWS Dikelola](ms_ad_getting_started_what_gets_created.md)
+ [AWS Akun Administrator Microsoft AD yang dikelola dan izin grup](ms_ad_getting_started_admin_account.md)

**Artikel blog AWS Keamanan Terkait**
+ [Cara mendelegasikan administrasi direktori Microsoft AD AWS Terkelola ke pengguna Active Directory lokal](https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/)
+ [Cara mengonfigurasi kebijakan kata sandi yang lebih kuat untuk membantu memenuhi standar keamanan Anda dengan menggunakan Directory Service untuk Microsoft AD yang AWS Dikelola](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
+ [Cara meningkatkan redundansi dan kinerja Anda Directory Service untuk AWS Microsoft AD yang Dikelola dengan menambahkan pengontrol Domain](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/)
+ [Cara mengaktifkan penggunaan desktop jarak jauh dengan menerapkan manajer lisensi desktop Microsoft jarak jauh di Microsoft AD yang Dikelola AWS](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/)
+ [Cara mengakses iklan Microsoft yang Konsol Manajemen AWSAWS Dikelola dan kredenal lokal Anda](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
+ [Cara mengaktifkan autentikasi multi-faktor untuk AWS layanan dengan menggunakan Managed AWS Microsoft AD dan kredensi lokal](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
+ [Cara mudah masuk ke AWS layanan dengan menggunakan Active Directory lokal](https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/)

# Apa yang dibuat dengan Microsoft AD yang AWS Dikelola
<a name="ms_ad_getting_started_what_gets_created"></a>

Saat Anda membuat Direktori Aktif dengan Microsoft AD yang AWS Dikelola, Directory Service lakukan tugas berikut atas nama Anda:
+ Secara otomatis membuat dan mengasosiasikan antarmuka jaringan elastis (ENI) dengan masing-masing pengendali domain Anda. Masing-masing ENIs penting untuk konektivitas antara VPC dan pengontrol Directory Service domain Anda dan tidak boleh dihapus. Anda dapat mengidentifikasi semua antarmuka jaringan yang dicadangkan untuk digunakan Directory Service dengan deskripsi: "AWS menciptakan antarmuka jaringan untuk *direktori-id* direktori”. Untuk informasi selengkapnya, lihat [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) di Panduan *Pengguna Amazon EC2*. Server DNS default dari Direktori Aktif Microsoft AD yang AWS Dikelola adalah server DNS VPC di Classless Inter-Domain Routing (CIDR) \$12. Untuk informasi selengkapnya, lihat [Server DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS) *Amazon di Panduan Pengguna Amazon VPC*.
**catatan**  
Pengontrol domain diterapkan di dua Availability Zone di suatu wilayah secara default dan terhubung ke Amazon VPC (VPC) Anda. Pencadangan diambil secara otomatis sekali sehari, dan volume Amazon EBS (EBS) dienkripsi untuk memastikan bahwa data diamankan saat istirahat. Pengendali domain yang gagal secara otomatis diganti di Availability Zone yang sama menggunakan alamat IP yang sama, dan pemulihan bencana penuh dapat dilakukan dengan menggunakan backup terbaru.
+ Persediaan Direktori Aktif dalam VPC Anda menggunakan dua pengendali domain untuk toleransi kesalahan dan ketersediaan tinggi. Pengendali domain yang lebih dapat disediakan untuk ketahanan yang lebih tinggi dan performa setelah direktori telah berhasil dibuat dan [Aktif](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html). Untuk informasi selengkapnya, lihat [Menerapkan pengontrol domain tambahan untuk AWS Microsoft AD yang Dikelola](ms_ad_deploy_additional_dcs.md).
**catatan**  
AWS tidak mengizinkan penginstalan agen pemantauan pada pengontrol domain Microsoft AD AWS Terkelola.
+ Membuat [grup AWS Keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) *sg-1234567890abcdef0* yang menetapkan aturan jaringan untuk lalu lintas masuk dan keluar dari pengontrol domain Anda. Aturan keluar default mengizinkan semua lalu lintas ke semua IPv4 alamat. Aturan masuk default hanya mengizinkan lalu lintas melalui port yang diperlukan oleh Active Directory dari blok IPv4 CIDR utama yang terkait dengan hosting VPC untuk iklan Microsoft Terkelola AWS Anda. Untuk keamanan tambahan, ENIs yang dibuat tidak memiliki Elastic yang IPs melekat padanya dan Anda tidak memiliki izin untuk melampirkan IP Elastis ke IP tersebut ENIs. Oleh karena itu secara default, satu-satunya lalu lintas masuk yang dapat berkomunikasi dengan Microsoft AD yang AWS Dikelola adalah VPC lokal. Anda dapat mengubah aturan grup keamanan untuk mengizinkan sumber lalu lintas tambahan, misalnya dari peered lain VPCs atau CIDRs dapat dijangkau melalui VPN. Gunakan sangat hati-hati jika Anda mencoba untuk mengubah aturan-aturan ini karena mungkin dapat merusak kemampuan Anda untuk berkomunikasi dengan pengendali domain Anda. Untuk informasi selengkapnya, lihat [AWS Praktik terbaik Microsoft AD yang dikelola](ms_ad_best_practices.md) dan [Meningkatkan konfigurasi keamanan jaringan Microsoft AD AWS Terkelola](ms_ad_network_security.md).

  Anda dapat menggunakan [daftar awalan]() untuk mengelola blok CIDR Anda dalam aturan grup keamanan. Daftar awalan memudahkan untuk mengelola dan mengkonfigurasi grup keamanan dan tabel rute. Anda dapat mengkonsolidasikan beberapa blok CIDR dengan port dan protokol yang sama untuk menskalakan lalu lintas jaringan Anda.
  + Dalam suatu Windows lingkungan, klien sering berkomunikasi melalui [Server Message Block (SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) atau port 445. Protokol ini memfasilitasi berbagai tindakan seperti berbagi file dan printer dan komunikasi jaringan umum. Anda akan melihat lalu lintas klien pada port 445 ke antarmuka manajemen pengontrol domain AWS Microsoft AD Terkelola Anda.

    Lalu lintas ini terjadi karena klien SMB mengandalkan resolusi nama DNS (port 53) dan NetBIOS (port 138) untuk menemukan sumber daya domain AWS Microsoft AD Terkelola Anda. Klien ini diarahkan ke antarmuka yang tersedia pada pengontrol domain saat menemukan sumber daya domain. Perilaku ini diharapkan dan sering terjadi di lingkungan dengan beberapa adaptor jaringan dan di mana [SMB Multichannel](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11)) memungkinkan klien untuk membuat koneksi di berbagai antarmuka untuk meningkatkan kinerja dan redundansi.

  Aturan grup AWS Keamanan berikut dibuat secara default:

  **Aturan Masuk**  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)

  **Aturan Keluar**  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
+ Untuk informasi selengkapnya tentang port dan protokol yang digunakan oleh Active Directory, lihat [Ringkasan layanan dan persyaratan port jaringan untuk Windows dalam Microsoft dokumentasi](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports).
+ Membuat akun administrator direktori dengan nama pengguna Admin dan kata sandi yang ditentukan. Akun ini terletak di bawah Users OU (Misalnya, Corp > Pengguna). Anda menggunakan akun ini untuk mengelola direktori Anda di AWS Cloud. Untuk informasi selengkapnya, lihat [AWS Akun Administrator Microsoft AD yang dikelola dan izin grup](ms_ad_getting_started_admin_account.md).
**penting**  
Pastikan untuk menyimpan kata sandi ini. Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil. Namun, Anda dapat mengatur ulang kata sandi dari Directory Service konsol atau dengan menggunakan [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API.
+ Menciptakan tiga unit organisasi berikut (OUs) di bawah root domain:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
+ Membuat grup berikut diAWS Delegated Groups OU:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
**catatan**  
Anda dapat menambahkan iniAWS Delegated Groups.
+ Membuat dan menerapkan Objek Kebijakan Grup berikut (GPOs):
**catatan**  
Anda tidak memiliki izin untuk menghapus, memodifikasi, atau memutuskan tautan ini. GPOs Ini adalah desain karena mereka dicadangkan untuk AWS digunakan. Anda dapat menautkannya ke OUs yang Anda kendalikan jika diperlukan.   
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)

  Jika Anda ingin melihat pengaturan dari setiap GPO, Anda dapat melihat mereka dari instans Windows yang tergabung domain misalnya dengan [Konsol Manajemen kebijakan grup (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10))diaktifkan.
+ Membuat hal berikut default local accounts untuk manajemen Microsoft AD yang AWS Dikelola:
**penting**  
Pastikan untuk menyimpan kata sandi admin. Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil. Namun, Anda [dapat mengatur ulang kata sandi dari Directory Service konsol](ms_ad_manage_users_groups_reset_password.md) atau dengan menggunakan [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API.  
**Admin**  
AdminIni adalah yang directory administrator account dibuat ketika AD Microsoft yang AWS Dikelola pertama kali dibuat. Anda memberikan kata sandi untuk akun ini saat membuat iklan Microsoft AWS Terkelola. Akun ini terletak di bawah Users OU (Misalnya, Corp > Pengguna). Anda menggunakan akun ini untuk mengelola Direktori Aktif Anda di AWS. Untuk informasi selengkapnya, lihat [AWS Akun Administrator Microsoft AD yang dikelola dan izin grup](ms_ad_getting_started_admin_account.md).  
**AWS*\$1*11111111111****  
Setiap nama akun yang dimulai dengan AWS diikuti dengan garis bawah dan terletak di AWS Reserved OU adalah akun yang dikelola layanan. Akun yang dikelola layanan ini digunakan oleh AWS untuk berinteraksi dengan Active Directory. Akun-akun ini dibuat ketika AWS Directory Service Data diaktifkan dan dengan setiap AWS aplikasi baru yang diotorisasi di Active Directory. Akun ini hanya dapat diakses oleh AWS layanan.  
**krbtgt account**  
Ini krbtgt account memainkan peran penting dalam pertukaran tiket Kerberos yang digunakan oleh AWS Microsoft AD Terkelola Anda. krbtgt accountIni adalah akun khusus yang digunakan untuk enkripsi tiket pemberian tiket Kerberos (TGT), dan memainkan peran penting dalam keamanan protokol otentikasi Kerberos. Untuk informasi selengkapnya, lihat [dokumentasi Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account).   
AWS secara otomatis memutar krbtgt account kata sandi untuk Microsoft AD AWS Terkelola Anda dua kali setiap 90 hari. Ada masa tunggu 24 jam antara dua rotasi berturut-turut setiap 90 hari.

Untuk informasi selengkapnya tentang akun admin dan akun lain yang dibuat oleh Active Directory, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts).

# AWS Akun Administrator Microsoft AD yang dikelola dan izin grup
<a name="ms_ad_getting_started_admin_account"></a>

Saat Anda membuat AWS direktori Directory Service untuk Microsoft Active Directory, AWS buat unit organisasi (OU) untuk menyimpan semua grup dan akun AWS terkait. Untuk informasi selengkapnya tentang OU ini, lihat [Apa yang dibuat dengan Microsoft AD yang AWS Dikelola](ms_ad_getting_started_what_gets_created.md). Ini termasuk akun Admin. Akun Admin memiliki izin untuk melakukan aktivitas administratif umum berikut untuk OU Anda:
+ Menambahkan, memperbarui, atau menghapus pengguna, grup, dan komputer. Untuk informasi selengkapnya, lihat [Manajemen pengguna dan grup di Microsoft AD yang AWS Dikelola](ms_ad_manage_users_groups.md). 
+ Menambahkan sumber daya ke domain Anda seperti server file atau cetak, kemudian berikan izin untuk sumber daya tersebut ke pengguna dan grup di OU Anda.
+ Buat tambahan OUs dan wadah.
+ Mendelegasikan wewenang tambahan OUs dan kontainer. Untuk informasi selengkapnya, lihat [Mendelegasikan hak istimewa bergabung direktori untuk AWS Microsoft AD yang Dikelola](directory_join_privileges.md).
+ Membuat dan menautkan kebijakan grup.
+ Memulihkan objek yang dihapus dari Keranjang Sampah Directory Active.
+ Jalankan PowerShell modul Active Directory dan DNS di Active Directory Web Service.
+ Buat dan konfigurasi Akun Layanan Terkelola grup. Untuk informasi selengkapnya, lihat [Akun Layanan yang Dikelola Grup](ms_ad_key_concepts.md#ms_ad_key_concepts_gmsa).
+ Mengkonfigurasi delegasi terbatas Kerberos. Untuk informasi selengkapnya, lihat [Delegasi terbatas Kerberos](ms_ad_key_concepts.md#ms_ad_key_concepts_kerberos).

Akun Admin juga memiliki hak untuk melakukan aktivitas di seluruh domain berikut:
+ Mengelola konfigurasi DNS (menambahkan, menghapus, atau memperbarui catatan, zona, dan penerus)
+ Melihat log peristiwa DNS
+ Melihat log peristiwa keamanan

Hanya tindakan yang tercantum di sini yang diizinkan untuk akun Admin. Akun Admin juga tidak memiliki izin untuk setiap tindakan terkait direktori di luar OU spesifik Anda, seperti pada OU induk.

**Pertimbangan-pertimbangan**
+ AWS Administrator Domain memiliki akses administratif penuh ke semua domain yang di-host. AWS Lihat perjanjian Anda AWS dan [FAQ perlindungan AWS data](https://aws.amazon.com/compliance/data-privacy-faq/) untuk informasi selengkapnya tentang cara AWS menangani konten, termasuk informasi direktori, yang Anda simpan di AWS sistem.
+ Kami merekomendasikan agar Anda tidak menghapus atau mengubah nama akun ini. Jika Anda tidak lagi ingin menggunakan akun, kami sarankan Anda menetapkan kata sandi yang panjang (paling banyak 64 karakter acak) dan kemudian nonaktifkan akun. 

**catatan**  
AWS memiliki kontrol eksklusif atas pengguna dan grup istimewa Administrator Domain dan Administrator Perusahaan. Hal ini memungkinkan AWS untuk melakukan manajemen operasional direktori Anda. 

## Akun istimewa administrator korporasi dan domain
<a name="privileged_accounts"></a>

AWS secara otomatis memutar kata sandi Administrator bawaan ke kata sandi acak setiap 90 hari. Kapan saja kata sandi Administrator bawaan diminta untuk penggunaan manusia, AWS tiket dibuat dan dicatat dengan Directory Service tim. Kredensial akun dienkripsi dan ditangani melalui saluran aman. Juga kredensi akun Administrator hanya dapat diminta oleh tim Directory Service manajemen.

Untuk melakukan manajemen operasional direktori Anda, AWS memiliki kontrol eksklusif atas akun dengan hak istimewa Administrator Perusahaan dan Administrator Domain. Ini termasuk kontrol eksklusif akun administrator Direktori Aktif. AWS melindungi akun ini dengan mengotomatiskan manajemen kata sandi melalui penggunaan brankas kata sandi. Selama rotasi otomatis kata sandi administrator, AWS buat akun pengguna sementara dan berikan hak istimewa Administrator Domain. Akun sementara ini digunakan sebagai back-up jika terjadi kegagalan rotasi kata sandi pada akun administrator. Setelah AWS berhasil memutar kata sandi administrator, AWS menghapus akun administrator sementara.

Biasanya AWS mengoperasikan direktori sepenuhnya melalui otomatisasi. Jika proses otomatisasi tidak dapat menyelesaikan masalah operasional, AWS mungkin perlu meminta insinyur dukungan masuk ke pengontrol domain (DC) Anda untuk melakukan diagnosis. Dalam kasus yang jarang terjadi ini, AWS menerapkan request/notification sistem untuk memberikan akses. Dalam proses ini, AWS otomatisasi membuat akun pengguna terbatas waktu di direktori Anda yang memiliki izin Administrator Domain. AWS mengaitkan akun pengguna dengan insinyur yang ditugaskan untuk bekerja di direktori Anda. AWS mencatat asosiasi ini dalam sistem log kami dan memberikan insinyur dengan kredensi untuk digunakan. Semua tindakan yang diambil oleh teknisi dicatat dalam log peristiwa Windows. Ketika waktu yang dialokasikan berlalu, otomatisasi menghapus akun pengguna.

Anda dapat memantau tindakan akun administratif dengan menggunakan fitur penerusan log direktori Anda. Fitur ini memungkinkan Anda untuk meneruskan peristiwa Keamanan AD ke CloudWatch sistem Anda di mana Anda dapat menerapkan solusi pemantauan. Untuk informasi selengkapnya, lihat [Mengaktifkan penerusan CloudWatch log Amazon Logs untuk Microsoft AD yang Dikelola AWS](ms_ad_enable_log_forwarding.md).

Peristiwa Keamanan IDs 4624, 4672 dan 4648 semuanya dicatat ketika seseorang masuk ke DC secara interaktif. Anda dapat melihat setiap log peristiwa Windows Security DC menggunakan Event Viewer Microsoft Management Console (MMC) dari domain yang bergabung dengan komputer Windows. Anda juga dapat [Mengaktifkan penerusan CloudWatch log Amazon Logs untuk Microsoft AD yang Dikelola AWS](ms_ad_enable_log_forwarding.md) mengirim semua log peristiwa Keamanan ke CloudWatch Log di akun Anda.

Anda mungkin sesekali melihat pengguna yang dibuat dan dihapus dalam OU AWS Cadangan. AWS bertanggung jawab atas pengelolaan dan keamanan semua objek di OU ini dan OU atau wadah lainnya di mana kami belum mendelegasikan izin bagi Anda untuk mengakses dan mengelola. Anda mungkin melihat pembuatan dan penghapusan di OU tersebut. Ini karena Directory Service menggunakan otomatisasi untuk memutar kata sandi Administrator Domain secara teratur. Ketika kata sandi dirotasi, backup dibuat pada peristiwa rotasi yang gagal. Setelah rotasi berhasil, akun backup akan dihapus secara otomatis. Juga dalam hal langka bahwa akses interaktif diperlukan pada DCs untuk tujuan pemecahan masalah, akun pengguna sementara dibuat untuk seorang Directory Service insinyur untuk digunakan. Setelah teknisi menyelesaikan pekerjaan mereka, akun pengguna sementara akan dihapus. Perhatikan bahwa setiap kali kredensi interaktif diminta untuk direktori, tim Directory Service manajemen akan diberi tahu.