AWS Managed Microsoft AD Administrator 帳戶和群組許可

當您建立 AWS Directory Service for Microsoft Active Directory 目錄時， AWS 會建立組織單位 (OU) 來存放 AWS 所有相關群組和帳戶。如需此 OU 的詳細資訊，請參閱「使用 AWS Managed Microsoft AD 建立的內容」。這包括管理帳戶。管理帳戶具有許可，能夠執行以下對您的 OU 而言常見的管理活動：

管理帳戶也有權執行下列全網域活動：

管理帳戶僅允許此處所列的動作。管理帳戶也缺少您特定 OU (例如父 OU) 外部任何目錄相關動作的許可。

企業和域管理員特殊權限帳戶

AWS 每 90 天會自動將內建管理員密碼輪換為隨機密碼。每當請求內建管理員密碼供人工使用時， AWS 就會建立票證，並與 AWS Directory Service 團隊一起記錄。帳戶憑證經過加密並透過安全通道處理。此外，管理員帳戶登入資料只能由 AWS Directory Service 管理團隊請求。

若要執行目錄的操作管理， AWS 擁有具有企業管理員和網域管理員權限帳戶的專屬控制權。這包括 Active Directory 管理員帳戶的獨佔控制權。 透過使用密碼保存庫自動化密碼管理來保護 AWS 此帳戶。在管理員密碼的自動輪換期間， AWS 會建立臨時使用者帳戶，並授予網域管理員權限。此臨時帳戶是管理員帳戶密碼輪換失效時的備用方案。 AWS 成功輪換管理員密碼後， 會 AWS 刪除臨時管理員帳戶。

通常完全透過自動化 AWS 操作目錄。如果自動化程序無法解決操作問題， AWS 可能需要支援工程師登入您的網域控制站 (DC) 來執行診斷。在這些極少數情況下， 會 AWS 實作請求/通知系統來授予存取權。在此程序中， AWS 自動化會在您的目錄中建立具有網域管理員許可的限時使用者帳戶。 會將使用者帳戶與指派在目錄中工作的工程師建立 AWS 關聯。 會在我們的日誌系統中 AWS 記錄此關聯，並為工程師提供要使用的登入資料。工程師採取的所有動作，都會記錄在 Windows 事件日誌。分配之時間結束時，會自動刪除使用者帳戶。

您可以使用目錄的日誌轉寄功能，監督管理帳戶的行動。此功能可讓您將 AD 安全性事件傳送到 CloudWatch 系統，讓您實作監督解決方案。如需詳細資訊，請參閱啟用 AWS Managed Microsoft AD 的 Amazon CloudWatch Logs 日誌轉送。

當有人以互動的方式登入 DC 時，安全事件 ID 4624、4672 和 4648 都會被記錄下來。您可以使用事件檢視器 Microsoft 管理主控台 (MMC)，從加入 Windows 電腦的網域檢視每個 DC 的 Windows 安全事件日誌。您也可以 啟用 AWS Managed Microsoft AD 的 Amazon CloudWatch Logs 日誌轉送 將所有安全事件日誌傳送到您帳戶中的 CloudWatch Logs。

您可能會偶爾看到 AWS 在預留 OU 中建立和刪除的使用者。 AWS 負責此 OU 中所有物件的管理和安全性，以及任何其他 OU 或容器，而我們尚未委派您存取和管理許可。您可能會看到該 OU 中的建立和刪除操作。這是因為 AWS Directory Service 使用自動化定期輪換網域管理員密碼。密碼輪換時會建立備份，以防輪換失敗。輪換成功後，備份帳戶將自動刪除。此外，在極少數情況下，為了進行故障診斷而需要在 DCs上進行互動式存取，則會建立臨時使用者帳戶供 AWS Directory Service 工程師使用。一旦相關工程師完成工作，該臨時使用者帳戶將被刪除。請注意，每次請求目錄的互動式登入資料時，都會通知 AWS Directory Service 管理團隊。