Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Cosa viene creato con AWS Managed Microsoft AD Quando crei un Active Directory con AWS Managed Microsoft AD, Directory Service esegue le seguenti attività per tuo conto: + crea e associa automaticamente una interfaccia di rete elastica (ENI) a ciascuno dei controller di dominio. Ciascuno di ENIs questi è essenziale per la connettività tra il VPC e i controller di Directory Service dominio e non deve mai essere eliminato. *È possibile identificare tutte le interfacce di rete riservate all'uso Directory Service mediante la descrizione: "interfaccia di rete AWS creata per directory directory-id».* Per ulteriori informazioni, consulta [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nella *Amazon EC2* User Guide. Il server DNS predefinito di AWS Managed Microsoft AD Active Directory è il server DNS VPC at Classless Inter-Domain Routing (CIDR) \$12. Per ulteriori informazioni, consulta [Amazon DNS server](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS) nella *Amazon VPC* User Guide. **Nota** Per impostazione predefinita, i controller di dominio vengono distribuiti in due zone di disponibilità in una regione e collegati al tuo Amazon VPC (VPC). I backup vengono eseguiti automaticamente una volta al giorno e i volumi Amazon EBS (EBS) sono crittografati per garantire che i dati siano protetti anche quando sono inattivi. Iin caso di guasto, i controller di dominio vengono sostituiti automaticamente nella stessa zona di disponibilità utilizzando lo stesso indirizzo IP ed è possibile eseguire un ripristino di emergenza completo utilizzando il backup più recente. + Effettua il provisioning di Active Directory all'interno del VPC in utilizzando due controller dei domini per la tolleranza ai guasti e un'alta disponibilità. È possibile eseguire il provisioning di più controller di dominio per una maggiore resilienza e prestazioni dopo che la directory è stata creata correttamente ed è [attiva](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html). Per ulteriori informazioni, consulta [Implementazione di controller di dominio aggiuntivi per Managed AWS Microsoft AD](ms_ad_deploy_additional_dcs.md). **Nota** AWS non consente l'installazione di agenti di monitoraggio sui controller di dominio Microsoft AD AWS gestiti. + Crea un [gruppo AWS di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) *sg-1234567890abcdef0* che stabilisce le regole di rete per il traffico in entrata e in uscita dai controller di dominio. La regola in uscita predefinita consente tutto il traffico verso tutti gli indirizzi. IPv4 Le regole in entrata predefinite consentono solo il traffico attraverso le porte richieste da Active Directory dal blocco IPv4 CIDR primario associato all'hosting VPC per il tuo Managed AWS Microsoft AD. Per una maggiore sicurezza, alle ENIs creazioni non è IPs associato Elastic e non sei autorizzato ad associare un IP elastico a tali elementi. ENIs Pertanto, per impostazione predefinita, l'unico traffico in entrata che può comunicare con AWS Managed Microsoft AD è il VPC locale. È possibile modificare le regole del gruppo di sicurezza per consentire sorgenti di traffico aggiuntive, ad esempio da altre fonti peer VPCs o CIDRs raggiungibili tramite VPN. Usa la massima cautela se tenti di modificare queste regole poiché potresti causare l'interruzione delle comunicazioni con i controller di dominio. Per ulteriori informazioni, consultare [AWS Best practice gestite per Microsoft AD](ms_ad_best_practices.md) e [Miglioramento della configurazione di sicurezza della rete AWS Managed Microsoft AD](ms_ad_network_security.md). Puoi utilizzare [gli elenchi di prefissi]() per gestire i blocchi CIDR all'interno delle regole del gruppo di sicurezza. Gli elenchi di prefissi semplificano la gestione e la configurazione dei gruppi di sicurezza e delle tabelle di routing. È possibile consolidare più blocchi CIDR con la stessa porta e gli stessi protocolli per scalare il traffico di rete. + In un Windows ambiente, i client comunicano spesso tramite [Server Message Block (SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) o la porta 445. Questo protocollo facilita varie azioni come la condivisione di file e stampanti e la comunicazione generale di rete. Vedrai il traffico dei client sulla porta 445 verso le interfacce di gestione dei controller di dominio Microsoft AD AWS gestiti. Questo traffico si verifica quando i client SMB si affidano alla risoluzione dei nomi DNS (porta 53) e NetBIOS (porta 138) per individuare le risorse del dominio AWS Microsoft AD gestito. Questi client vengono indirizzati a qualsiasi interfaccia disponibile sui controller di dominio quando individuano le risorse del dominio. Questo comportamento è previsto e si verifica spesso in ambienti con più adattatori di rete e in cui [SMB Multichannel](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11)) consente ai client di stabilire connessioni tra diverse interfacce per migliorare le prestazioni e la ridondanza. Le seguenti regole del gruppo di sicurezza vengono create per impostazione predefinita: AWS **Regole in entrata** **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **Regole in uscita** **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Per ulteriori informazioni sulle porte e i protocolli utilizzati da Active Directory, vedi [Panoramica del servizio e requisiti delle porte di rete per Windows](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports) nella Microsoft documentazione. + Crea un account amministratore della directory con nome utente Admin e la password specificata. Questo account si trova in Users OU (Ad esempio, Corp > Users). Utilizzi questo account per gestire la tua directory in. Cloud AWS Per ulteriori informazioni, consulta [AWS Account Microsoft AD Administrator gestito e autorizzazioni di gruppo](ms_ad_getting_started_admin_account.md). **Importante** Assicurati di salvare questa password. Directory Service non memorizza questa password e non può essere recuperata. Tuttavia, è possibile reimpostare una password dalla Directory Service console o utilizzando l'[ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API. + Crea le seguenti tre unità organizzative (OUs) nella radice del dominio: **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Crea i seguenti gruppi inAWS Delegated Groups OU: **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **Nota** È possibile aggiungerliAWS Delegated Groups. + Crea e applica i seguenti oggetti di policy di gruppo (GPOs): **Nota** Non disponete delle autorizzazioni necessarie per eliminarli, modificarli o scollegarli. GPOs Ciò è dovuto alla progettazione in quanto sono riservati all'uso AWS . Se necessario, puoi collegarli a OUs ciò che controlli. **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) Per visualizzare le impostazioni di ciascun GPO, è possibile visualizzarle da un'istanza di Windows aggiunta a un dominio con la [Console di gestione delle policy di gruppo (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)) attivata. + Crea quanto segue default local accounts per la gestione di AWS Managed Microsoft AD: **Importante** Assicurati di salvare la password dell'amministratore. Directory Service non memorizza questa password e non può essere recuperata. Tuttavia, è [possibile reimpostare una password dalla Directory Service console](ms_ad_manage_users_groups_reset_password.md) o utilizzando l'[ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API. **Admin** Adminviene directory administrator account creato quando AWS Managed Microsoft AD viene creato per la prima volta. Fornisci una password per questo account quando crei un AWS Managed Microsoft AD. Questo account si trova sotto Users OU (ad esempio, Corp > Users). Questo account viene utilizzato per gestire Active Directory in. AWS Per ulteriori informazioni, consulta [AWS Account Microsoft AD Administrator gestito e autorizzazioni di gruppo](ms_ad_getting_started_admin_account.md). **AWS*\$1*11111111111**** Qualsiasi nome di account che inizia con AWS seguito da un trattino basso e si trova in AWS Reserved OU è un account gestito dal servizio. Questo account gestito dal servizio viene utilizzato da per interagire con Active AWS Directory. Questi account vengono creati quando AWS Directory Service Data è abilitato e con ogni nuova AWS applicazione autorizzata su Active Directory. Questi account sono accessibili solo dai AWS servizi. **krbtgt account** krbtgt accountSvolge un ruolo importante negli scambi di ticket Kerberos utilizzati dal tuo Managed AWS Microsoft AD. krbtgt accountSi tratta di un account speciale utilizzato per la crittografia Kerberos ticket-granting ticket (TGT) e svolge un ruolo cruciale nella sicurezza del protocollo di autenticazione Kerberos. Per ulteriori informazioni, consulta [la documentazione Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account). AWS ruota automaticamente la krbtgt account password per AWS Managed Microsoft AD due volte ogni 90 giorni. C'è un periodo di attesa di 24 ore tra le due rotazioni consecutive ogni 90 giorni. Per ulteriori informazioni sull'account amministratore e sugli altri account creati da Active Directory, consulta [Microsoftla documentazione](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts).