As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Introdução ao AWS Managed Microsoft AD
<a name="ms_ad_getting_started"></a>

AWS O Microsoft AD gerenciado cria um ambiente totalmente gerenciado, Microsoft Active Directory no Nuvem AWS e é desenvolvido pelo Windows Server 2019 e opera nos níveis funcionais de 2012 R2 Forest e Domain. Quando você cria um diretório com o AWS Managed Microsoft AD, Directory Service cria dois controladores de domínio e adiciona o serviço DNS em seu nome. Os controladores de domínio são criados em diferentes sub-redes em uma Amazon VPC. Essa redundância ajuda a garantir que o diretório permaneça acessível, mesmo que ocorra uma falha. Se precisar de mais controladores de domínio, você pode adicioná-los posteriormente. Para obter mais informações, consulte [Implantando controladores de domínio adicionais para seu AWS Microsoft AD gerenciado](ms_ad_deploy_additional_dcs.md).

Para uma demonstração e uma visão geral do AWS Managed Microsoft AD, veja o YouTube vídeo a seguir.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla)


**Topics**
+ [Pré-requisitos para criar um Microsoft AD gerenciado AWS](#ms_ad_getting_started_prereqs)
+ [Centro de Identidade do AWS IAM pré-requisitos](#prereq_aws_sso_ms_ad)
+ [Pré-requisitos da autenticação multifator](#prereq_mfa_ad)
+ [Criando seu Microsoft AD AWS gerenciado](#ms_ad_getting_started_create_directory)
+ [O que é criado com seu Microsoft AD AWS gerenciado](ms_ad_getting_started_what_gets_created.md)
+ [AWS Conta gerenciada de administrador do Microsoft AD e permissões de grupo](ms_ad_getting_started_admin_account.md)

## Pré-requisitos para criar um Microsoft AD gerenciado AWS
<a name="ms_ad_getting_started_prereqs"></a>

Para criar um Microsoft AD Active Directory AWS gerenciado, você precisa de uma Amazon VPC com o seguinte: 
+ Pelo menos duas sub-redes. Cada uma das sub-redes deve estar em uma zona de disponibilidade diferente e deve ser do mesmo tipo de rede.

  Você pode usar IPv6 para sua VPC. Para obter mais informações, consulte o [IPv6 suporte para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) no Guia do *usuário da Amazon Virtual Private Cloud*.
+ A VPC deve ter uma locação de hardware padrão.
+ Você não pode criar um Microsoft AD AWS gerenciado em uma VPC usando endereços no espaço de endereço 198.18.0.0/15.

Se você precisar integrar seu domínio AWS gerenciado do Microsoft AD com um domínio existente do Active Directory local, você deve ter os níveis funcionais de Floresta e Domínio para seu domínio local definidos como Windows Server 2003 ou superior.

Directory Service usa uma estrutura de duas VPC. As instâncias do EC2 que compõem seu diretório são executadas fora da sua AWS conta e são gerenciadas pela AWS. Elas têm dois adaptadores de rede `ETH0` e `ETH1`. `ETH0` é o adaptador de gerenciamento e existe fora da sua conta. `ETH1` é criado em sua conta. 

O intervalo de IP de gerenciamento da ETH0 rede do seu diretório é 198.18.0.0/15.

Para obter um tutorial sobre como criar o AWS ambiente e o Microsoft AD AWS gerenciado, consulte[AWS Tutoriais gerenciados do laboratório de testes do Microsoft AD](ms_ad_tutorial_test_lab.md).

## Centro de Identidade do AWS IAM pré-requisitos
<a name="prereq_aws_sso_ms_ad"></a>

Se você planeja usar o IAM Identity Center com o Microsoft AD AWS gerenciado, você precisa garantir que o seguinte seja verdadeiro:
+ Seu diretório AWS gerenciado do Microsoft AD está configurado na conta de gerenciamento da sua AWS organização.
+ Sua instância do IAM Identity Center está na mesma região em que seu diretório AWS gerenciado do Microsoft AD está configurado. 

Para obter mais informações, consulte [Pré-requisitos do Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

## Pré-requisitos da autenticação multifator
<a name="prereq_mfa_ad"></a>

Para oferecer suporte à autenticação multifator com seu diretório AWS Managed Microsoft AD, você deve configurar seu servidor RADIUS ([Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS)) local ou baseado na nuvem da seguinte maneira para que ele possa aceitar solicitações do seu diretório Managed Microsoft AD em. AWS AWS

1. Em seu servidor RADIUS, crie dois clientes RADIUS para representar os dois controladores de domínio gerenciados do AWS Microsoft AD () DCs em. AWS Você deve configurar os dois clientes usando os seguintes parâmetros comuns (o servidor RADIUS pode variar):
   + **Endereço (DNS ou IP)**: Esse é o endereço DNS de um dos AWS Microsoft AD gerenciados. DCs Ambos os endereços DNS podem ser encontrados no AWS Directory Service Console na página **Detalhes** do diretório AWS Managed Microsoft AD no qual você planeja usar o MFA. Os endereços DNS exibidos representam os endereços IP de ambos os Microsoft AD AWS gerenciados DCs que são usados pelo AWS.
**nota**  
Se seu servidor RADIUS oferecer suporte a endereços de DNS, é necessário criar apenas uma configuração de cliente RADIUS. Caso contrário, você deverá criar uma configuração de cliente RADIUS para cada Microsoft AD DC AWS gerenciado.
   + **Número da porta**: configure o número da porta na qual seu servidor do RADIUS aceita conexões de cliente do RADIUS. A porta padrão do RADIUS é 1812.
   + **Segredo compartilhado**: digite ou gere um segredo compartilhado que o servidor do RADIUS usará para conectar-se aos clientes do RADIUS.
   + **Protocolo**: Talvez seja necessário configurar o protocolo de autenticação entre o Microsoft AD AWS gerenciado DCs e o servidor RADIUS. Os protocolos compatíveis são PAP, CHAP MS- CHAPv1 e MS-. CHAPv2 O MS- CHAPv2 é recomendado porque fornece a segurança mais forte das três opções.
   + **Nome do aplicativo**: pode ser opcional em alguns servidores do RADIUS e normalmente identifica o aplicativo em mensagens ou relatórios.

1. Configure sua rede existente para permitir o tráfego de entrada dos clientes RADIUS (endereços AWS Microsoft AD DCs DNS gerenciados, consulte a Etapa 1) para a porta do servidor RADIUS.

1. Adicione uma regra ao grupo de segurança do Amazon EC2 em seu domínio gerenciado AWS do Microsoft AD que permita tráfego de entrada do endereço DNS e do número da porta do servidor RADIUS definidos anteriormente. Para obter mais informações, consulte [Adicionar regras a um grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) no *Guia do usuário do EC2*.

Para obter mais informações sobre como usar o Microsoft AD AWS gerenciado com MFA, consulte. [Habilitando a autenticação multifator para o AWS Managed Microsoft AD](ms_ad_mfa.md) 

## Criando seu Microsoft AD AWS gerenciado
<a name="ms_ad_getting_started_create_directory"></a>

Para criar um novo Microsoft AD Active Directory AWS gerenciado, execute as etapas a seguir. Antes de iniciar este procedimento, verifique se você concluiu os pré-requisitos identificados em [Pré-requisitos para criar um Microsoft AD gerenciado AWS](#ms_ad_getting_started_prereqs). 

**Para criar um Microsoft AD AWS gerenciado**

1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), escolha **Diretórios** e escolha **Configurar diretório**.

1. Na página **Selecionar tipo do diretório**, escolha **AWS Managed Microsoft AD** e, em seguida, **Próximo**.

1. Na página **Enter directory information (Inserir informações do diretório)**, forneça as seguintes informações:  
**Edição**  
Escolha entre a **Standard Edition** ou a **Enterprise Edition** do AWS Managed Microsoft AD. Para obter mais informações sobre edições, consulte [AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad).   
**Nome do DNS do diretório**  
O nome completo do diretório, como `corp.example.com`.  
Se você planeja usar o Amazon Route 53 para DNS, o nome de domínio do seu Microsoft AD AWS gerenciado deve ser diferente do seu nome de domínio do Route 53. Problemas de resolução de DNS podem ocorrer se o Route 53 e o AWS Managed Microsoft AD compartilharem o mesmo nome de domínio.  
**Nome de NetBIOS do diretório**  
O nome curto do diretório, como `CORP`.  
**Descrição do diretório**  
Uma descrição opcional do diretório. Essa descrição pode ser alterada depois de criar seu Microsoft AD AWS gerenciado.  
**Senha do Admin**  
A senha do administrador do diretório. O processo de criação do diretório cria uma conta de administrador com o nome de usuário `Admin` e essa senha. Você pode alterar a senha do administrador depois de criar seu Microsoft AD AWS gerenciado.  
A senha não pode incluir a palavra "admin".   
A senha do administrador do diretório diferencia maiúsculas de minúsculas e deve ter de 8 a 64 caracteres, inclusive. Ela também precisa conter pelo menos um caractere de três das quatro categorias a seguir:  
   + Letras minúsculas (a-z)
   + Letras maiúsculas (A-Z)
   + Números (0-9)
   + Caracteres não alfanuméricos (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)  
**Confirmar senha**  
Digite a senha do administrador novamente.  
**(Opcional) Gerenciamento de usuários e grupos**  
Para habilitar o gerenciamento AWS gerenciado de usuários e grupos do Microsoft AD a partir do Console de gerenciamento da AWS, selecione **Gerenciar gerenciamento de usuários e grupos no Console de gerenciamento da AWS**. Para obter mais informações sobre como usar o gerenciamento de usuários e grupos, consulte [Gerencie usuários e grupos AWS gerenciados do Microsoft AD com o Console de gerenciamento da AWS, AWS CLI, ou Ferramentas da AWS para PowerShell](ms_ad_manage_users_groups_procedures.md).

1. Na página **Choose VPC and subnets (Selecionar VPC e sub-redes)**, forneça as seguintes informações e selecione **Next (Próximo)**.  
**VPC**  
Selecione a VPC do diretório.  
**Tipo de rede**  
O sistema de endereçamento IP (Internet Protocol) associado à VPC e sub-redes.  
Selecione o bloco CIDR associado à VPC existente. Os recursos em sua sub-rede podem ser configurados para serem usados IPv4 somente, IPv6 somente ou ambos IPv6 ( IPv4 pilha dupla). Para obter mais informações, consulte [ IPv4 Compare e IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html) no *Guia do usuário da Amazon Virtual Private Cloud*.  
**Sub-redes**  
Selecione as sub-redes para os controladores de domínio. As duas sub-redes deve estar em diferentes zonas de disponibilidade. 

1. Na página **Review & create (Revisar e criar)**, analise as informações do diretório e faça as alterações necessárias. Quando as informações estiverem corretas, escolha **Create directory (Criar diretório)**. A criação do diretório leva de 20 a 40 minutos. Depois de criado, o valor de **Status** é alterado para **Ativo**.

Para obter mais informações sobre o que é criado com seu Microsoft AD AWS gerenciado, consulte o seguinte:
+ [O que é criado com seu Microsoft AD AWS gerenciado](ms_ad_getting_started_what_gets_created.md)
+ [AWS Conta gerenciada de administrador do Microsoft AD e permissões de grupo](ms_ad_getting_started_admin_account.md)

**Artigos do blog de AWS segurança relacionados**
+ [Como delegar a administração do seu diretório AWS gerenciado do Microsoft AD aos usuários locais do Active Directory](https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/)
+ [Como configurar políticas de senha ainda mais fortes para ajudar a atender aos seus padrões de segurança usando Directory Service o Microsoft AD AWS gerenciado](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
+ [Como aumentar a redundância e o desempenho do seu AWS Microsoft AD Directory Service gerenciado adicionando controladores de domínio](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/)
+ [Como habilitar o uso de desktops remotos implantando o gerenciador de licenciamento de desktop Microsoft remoto no Managed Microsoft AD AWS](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/)
+ [Como acessar o Microsoft Console de gerenciamento da AWS AD AWS gerenciado e suas credenciais locais](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
+ [Como habilitar a autenticação multifator para AWS serviços usando o Microsoft AD AWS gerenciado e credenciais locais](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
+ [Como fazer login facilmente nos AWS serviços usando seu Active Directory local](https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/)

# O que é criado com seu Microsoft AD AWS gerenciado
<a name="ms_ad_getting_started_what_gets_created"></a>

Quando você cria um Active Directory com o Microsoft AD AWS gerenciado, Directory Service executa as seguintes tarefas em seu nome:
+ Cria e associa automaticamente uma interface de rede elástica (ENI) a cada um dos controladores de domínio. Cada um deles ENIs é essencial para a conectividade entre sua VPC e os controladores de Directory Service domínio e nunca deve ser excluído. Você pode identificar todas as interfaces de rede reservadas para uso com Directory Service a descrição: "interface de rede AWS criada para *id de diretório*”. Para obter mais informações, consulte [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) no *Guia do usuário do Amazon EC2*. O servidor DNS padrão do Microsoft AD Active Directory AWS gerenciado é o servidor VPC DNS em Classless Inter-Domain Routing (CIDR) \$12. Para obter mais informações, consulte [Amazon DNS server](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS) no *Guia do usuário da Amazon VPC*.
**nota**  
Por padrão, os controladores de domínio são implantados em duas zonas de disponibilidade em uma região e conectados à Amazon VPC (VPC). Os backups são realizados automaticamente uma vez por dia, e os volumes do Amazon EBS (EBS) são criptografados para garantir que os dados estejam seguros em repouso. Os controladores de domínio que falham são substituídos automaticamente na mesma zona de disponibilidade usando o mesmo endereço IP, e uma recuperação completa de desastres pode ser realizada usando-se o backup mais recente.
+ Provisiona o Active Directory na VPC usando dois controladores de domínio para tolerância a falhas e alta disponibilidade. Mais controladores de domínio podem ser provisionados para maior resiliência e desempenho depois que o diretório foi criado com êxito e está [Ativo](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html). Para obter mais informações, consulte [Implantando controladores de domínio adicionais para seu AWS Microsoft AD gerenciado](ms_ad_deploy_additional_dcs.md).
**nota**  
AWS não permite a instalação de agentes de monitoramento em controladores de domínio AWS gerenciados do Microsoft AD.
+ Cria um [grupo AWS de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) *sg-1234567890abcdef0* que estabelece regras de rede para o tráfego de entrada e saída de seus controladores de domínio. A regra de saída padrão permite todo o tráfego para todos IPv4 os endereços. As regras de entrada padrão permitem somente o tráfego pelas portas exigidas pelo Active Directory a partir do bloco IPv4 CIDR primário associado à hospedagem VPC do seu Microsoft AD gerenciado AWS . Para segurança adicional, os ENIs que são criados não têm Elastic IPs anexado a eles e você não tem permissão para anexar um IP elástico a eles ENIs. Portanto, por padrão, o único tráfego de entrada que pode se comunicar com seu Microsoft AD AWS gerenciado é a VPC local. Você pode alterar as regras do grupo de segurança para permitir fontes de tráfego adicionais, por exemplo, de outras fontes de tráfego CIDRs emparelhadas VPCs ou acessíveis via VPN. Tenha muito cuidado se tentar alterar essas regras, pois você pode prejudicar sua capacidade de se comunicar com os controladores de domínio. Para obter mais informações, consulte [AWS Práticas recomendadas gerenciadas do Microsoft AD](ms_ad_best_practices.md) e [Aprimorando sua configuração de segurança de rede AWS gerenciada do Microsoft AD](ms_ad_network_security.md).

  Você pode usar [listas de prefixos]() para gerenciar os blocos CIDR dentro das regras do grupo de segurança. As listas de prefixos facilitam o gerenciamento e a configuração de grupos de segurança e tabelas de rotas. Você pode consolidar vários blocos CIDR com a mesma porta e protocolos para escalar o tráfego de rede.
  + Em um ambiente Windows, os clientes geralmente se comunicam via [Server Message Block (SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) ou pela porta 445. Esse protocolo facilita várias ações, como compartilhamento de arquivos e impressoras e comunicação geral de rede. Você verá o tráfego de clientes na porta 445 para as interfaces de gerenciamento de seus controladores de domínio AWS gerenciados do Microsoft AD.

    Esse tráfego ocorre quando os clientes SMB dependem da resolução de nomes DNS (porta 53) e NetBIOS (porta 138) para localizar seus recursos de domínio gerenciado do AWS Microsoft AD. Esses clientes são direcionados para qualquer interface disponível nos controladores de domínio ao localizar recursos de domínio. Esse comportamento é esperado e costuma ocorrer em ambientes com vários adaptadores de rede, onde o [SMB Multichannel](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11)) permite que clientes estabeleçam conexões por diferentes interfaces para melhorar o desempenho e a redundância.

  As seguintes regras do grupo de AWS segurança são criadas por padrão:

  **Regras de entrada**  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)

  **Regras de saída**  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
+ Para obter mais informações sobre as portas e os protocolos usados pelo Active Directory, consulte [Visão geral do serviço e requisitos de porta de rede para o Windows](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports) na documentação da Microsoft.
+ Cria uma conta de administrador do diretório com o nome de usuário Admin e a senha especificada. Essa conta está localizada sob a Users OU (por exemplo, Corp > Usuários). Use essa conta para gerenciar o diretório na Nuvem AWS. Para obter mais informações, consulte [AWS Conta gerenciada de administrador do Microsoft AD e permissões de grupo](ms_ad_getting_started_admin_account.md).
**Importante**  
Não se esqueça de salvar essa senha. Directory Service não armazena essa senha e ela não pode ser recuperada. No entanto, você pode redefinir uma senha no Directory Service console ou usando a [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API.
+ Cria as três unidades organizacionais a seguir (OUs) sob a raiz do domínio:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
+ Cria os seguintes grupos no AWS Delegated Groups OU:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
**nota**  
Também é possível adicionar esses AWS Delegated Groups.
+ Cria e aplica os seguintes Objetos de Política de Grupo (GPOs):
**nota**  
Você não tem permissões para excluí-los, modificá-los ou desvinculá-los GPOs. Isso ocorre intencionalmente, pois eles são reservados para AWS uso. Você pode vinculá-los aos OUs que você controla, se necessário.   
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)

  Se quiser ver as configurações de cada GPO, você poderá visualizá-las em uma instância do Windows associada ao domínio com o [Console de gerenciamento de política de grupo (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)) habilitado.
+ Cria o seguinte default local accounts para o gerenciamento AWS gerenciado do Microsoft AD:
**Importante**  
Certifique-se de salvar a senha do administrador. Directory Service não armazena essa senha e ela não pode ser recuperada. No entanto, você [pode redefinir uma senha no Directory Service console](ms_ad_manage_users_groups_reset_password.md) ou usando a [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API.  
**Admin**  
O Admin é o directory administrator account criado quando o Microsoft AD AWS gerenciado é criado pela primeira vez. Você fornece uma senha para essa conta ao criar um Microsoft AD AWS gerenciado. Essa conta está localizada sob a Users OU (por exemplo, Corp > Usuários). Use essa conta para gerenciar o Active Directory na AWS. Para obter mais informações, consulte [AWS Conta gerenciada de administrador do Microsoft AD e permissões de grupo](ms_ad_getting_started_admin_account.md).  
**AWS*\$1*11111111111****  
Qualquer nome de conta que comece com AWS seguido por um sublinhado e localizado em AWS Reserved OU é uma conta gerenciada pelo serviço. Essa conta gerenciada por serviços é usada por AWS para interagir com o Active Directory. Essas contas são criadas quando o AWS Directory Service Data está habilitado e com cada novo AWS aplicativo autorizado no Active Directory. Essas contas só podem ser acessadas por AWS serviços.  
**krbtgt account**  
Ela krbtgt account desempenha um papel importante nas trocas de tíquetes Kerberos usadas pelo seu AWS Microsoft AD gerenciado. A krbtgt account é uma conta especial usada para criptografia de tíquetes de concessão de tíquetes (TGT) do Kerberos e desempenha um papel crucial na segurança do protocolo de autenticação Kerberos. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account).   
AWS gira automaticamente a krbtgt account senha do seu Microsoft AD AWS gerenciado duas vezes a cada 90 dias. Há um período de espera de 24 horas entre as duas alternâncias consecutivas a cada 90 dias.

Para obter mais informações sobre a conta de administrador e outras contas criadas pelo Active Directory, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts).

# AWS Conta gerenciada de administrador do Microsoft AD e permissões de grupo
<a name="ms_ad_getting_started_admin_account"></a>

Quando você cria um AWS diretório do Directory Service para o Microsoft Active Directory, AWS cria uma unidade organizacional (OU) para armazenar todos os grupos e contas AWS relacionados. Para obter mais informações sobre essa UO, consulte [O que é criado com seu Microsoft AD AWS gerenciado](ms_ad_getting_started_what_gets_created.md). Isso inclui a conta de administrador. A conta de administrador tem permissões para executar as seguintes atividades administrativas comuns para sua UO:
+ Adicionar, atualizar ou excluir usuários, grupos e computadores. Para obter mais informações, consulte [Gerenciamento de usuários e grupos no AWS Managed Microsoft AD](ms_ad_manage_users_groups.md). 
+ Adicione recursos ao seu domínio, como servidores de arquivos ou de impressão e atribua permissões para esses recursos a usuários e grupos em sua UO.
+ Crie OUs contêineres adicionais.
+ Delegue autoridade sobre contêineres OUs e adicionais. Para obter mais informações, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md).
+ Criar e vincular políticas de grupo.
+ Restaurar objetos excluídos da Lixeira do Active Directory.
+ Execute os módulos Active Directory e DNS do PowerShell no Active Directory Web Service.
+ Criar e configurar contas de serviço gerenciadas pelo grupo. Para obter mais informações, consulte [Contas de serviço gerenciadas pelo grupo](ms_ad_key_concepts.md#ms_ad_key_concepts_gmsa).
+ Configurar a delegação restrita de Kerberos. Para obter mais informações, consulte [Delegação restrita de Kerberos](ms_ad_key_concepts.md#ms_ad_key_concepts_kerberos).

A conta de administrador também possui direitos para executar as seguintes atividades de domínio:
+ Gerenciar configurações de DNS (adicionar, remover ou atualizar registros, zonas e encaminhadores)
+ Visualizar logs de eventos de DNS
+ Visualizar logs de eventos de segurança

Somente as ações listadas aqui são permitidas na conta de administrador. A conta de administrador também não tem permissões para quaisquer ações relacionadas a diretórios fora da sua UO específica, como a UO pai.

**Considerações**
+ AWS Os administradores de domínio têm acesso administrativo total a todos os domínios hospedados em. AWS Consulte seu contrato AWS e as [perguntas frequentes sobre proteção de AWS dados](https://aws.amazon.com/compliance/data-privacy-faq/) para obter mais informações sobre como AWS lida com o conteúdo, incluindo informações de diretório, que você armazena nos AWS sistemas.
+ Recomendamos que você não exclua nem renomeie essa conta. Se não desejar mais usar a conta, recomendamos definir uma senha longa (no máximo 64 caracteres aleatórios) e desabilitá-la. 

**nota**  
AWS tem controle exclusivo dos usuários e grupos privilegiados do Administrador do Domínio e do Administrador da Empresa. Isso permite AWS realizar o gerenciamento operacional do seu diretório. 

## Contas privilegiadas de administrador de empresa e de administrador de domínio
<a name="privileged_accounts"></a>

AWS alterna automaticamente a senha de administrador incorporada para uma senha aleatória a cada 90 dias. Sempre que a senha incorporada do administrador é solicitada para uso humano, um AWS ticket é criado e registrado com a Directory Service equipe. As credenciais da conta são criptografadas e gerenciadas por canais seguros. Além disso, as credenciais da conta de administrador só podem ser solicitadas pela equipe Directory Service de gerenciamento.

Para realizar o gerenciamento operacional do seu diretório, AWS tem controle exclusivo de contas com privilégios de administrador corporativo e administrador de domínio. Isso inclui controle exclusivo da conta de administrador do Active Directory. AWS protege essa conta automatizando o gerenciamento de senhas por meio do uso de um cofre de senhas. Durante a rotação automática da senha do administrador, AWS cria uma conta de usuário temporária e concede a ela privilégios de administrador de domínio. Esta conta temporária é usado como um backup em caso de falha na rotação de senhas na conta do administrador. Depois de alternar AWS com sucesso a senha do administrador, AWS exclui a conta temporária do administrador.

Normalmente AWS opera o diretório inteiramente por meio da automação. Caso um processo de automação não consiga resolver um problema operacional, AWS talvez seja necessário que um engenheiro de suporte faça login no seu controlador de domínio (DC) para realizar o diagnóstico. Nesses casos raros, AWS implementa um request/notification sistema para conceder acesso. Nesse processo, a AWS automação cria uma conta de usuário com limite de tempo em seu diretório que tem permissões de administrador de domínio. AWS associa a conta do usuário ao engenheiro designado para trabalhar em seu diretório. AWS registra essa associação em nosso sistema de log e fornece ao engenheiro as credenciais a serem usadas. Todas as ações executadas pelo engenheiro serão registradas nos logs de eventos do Windows. Quando o tempo de alocado expirar, a automação excluirá a conta de usuário.

Você pode monitorar as ações de contas administrativas usando o recurso de encaminhamento de log do seu diretório. Esse recurso permite que você encaminhe os eventos de segurança do AD para o seu CloudWatch sistema, onde você pode implementar soluções de monitoramento. Para obter mais informações, consulte [Habilitando o encaminhamento de CloudWatch registros do Amazon Logs para o AWS Managed Microsoft AD](ms_ad_enable_log_forwarding.md).

Os eventos de segurança IDs 4624, 4672 e 4648 são todos registrados quando alguém faz login em um DC de forma interativa. É possível visualizar o log de eventos de segurança do Windows para cada DC usando o Visualizador de Eventos do Microsoft Management Console (MMC) em um computador Windows associado ao domínio. Você também pode [Habilitando o encaminhamento de CloudWatch registros do Amazon Logs para o AWS Managed Microsoft AD](ms_ad_enable_log_forwarding.md) enviar todos os registros de eventos de segurança para o CloudWatch Logs da sua conta.

Ocasionalmente, você pode ver usuários criados e excluídos na OU AWS reservada. AWS é responsável pelo gerenciamento e pela segurança de todos os objetos nesta OU e em qualquer outra OU ou contêiner em que não tenhamos delegado permissões para você acessar e gerenciar. É possível ver criações e exclusões nessa UO. Isso ocorre porque Directory Service usa automação para alternar a senha do administrador do domínio regularmente. Quando a senha é alternada, um backup é criado para o caso da operação falhar. Quando a alternância for bem-sucedida, a conta de backup será excluída automaticamente. Além disso, no caso raro de ser necessário acesso interativo no DCs para fins de solução de problemas, uma conta de usuário temporária é criada para uso por um Directory Service engenheiro. Após o engenheiro concluir seu trabalho, a conta de usuário temporária será excluída. Observe que toda vez que as credenciais interativas são solicitadas para um diretório, a equipe Directory Service de gerenciamento é notificada.