そこで、AWS で Microsoft AD を作成し、DHCP オプションセットを変更した後、コンピューターをドメインに参加させることができました。その後、マシンを再起動し、ドメインで作成された管理者アカウントとしてログインしましたが、すぐに管理者アカウントには非常に厳しい権限があることに気付きました。新しいユーザーを作成してコンピューターを AD に追加することはできますが、それだけです... ドメイン管理者グループやリモート デスクトップ ユーザー グループにユーザーを追加することはできません。
AWS で Windows Active Directory を作成するときに、実際の管理者アカウントにアクセスする方法があるかどうかご存知の方はいらっしゃいますか?
答え1
AWS が委任されたグループを作成していることに気付いたので、ユーザーを「AWS 委任された管理者」グループに追加した後はすべて正常になりました。
実際のドメイン管理者アカウントとグループからロックアウトされる理由については、私には理解できません...ため息
答え2
残念ながら、この質問に対する答えは「いいえ」です。ホストされた AWS Microsoft AD ソリューションの「実際の」(つまり -500) 管理者アカウントにアクセスできません。
ありがたいことに、この制限は、Amazon がサービスについて調査したときに明確に示されていました。私はまだそれを実装していません。私たちはさまざまなプロバイダーとオプションをすべて検討しているところですが、このサービスの FAQ の最初の項目の 1 つに明確な確認があります。
Amazon はこのサービスの準備と自動化に多くの時間を費やしており、Amazon の顧客が Active Directory のほぼすべてのオプションを構成するのに十分なアクセス権を持ちながら、同時に AD 管理への顧客アクセスを許可しないようにするために、権限とアクセス許可の委任を大量に必要としています。
つまり、ベストプラクティスが遵守されていることを確認するために、同じ方法を使用するということです。具体的には、「ドメイン管理者」またはADの管理に使用される特権アカウントです。いけないメンバーのコンピューターの管理者になる。
いずれにせよ、それは理にかなっています。ユーザーにいつでもディレクトリをホースする権限を与えた場合、アップタイムを適切に保証したり、サービスをサポートしたりすることはどのようにできるでしょうか?
マネージドサービスエクスペリエンスを提供するために、AWS Microsoft AD は、サービスの管理を妨げる可能性のある顧客による操作を禁止する必要があります。そのため、AWS はディレクトリインスタンスへの Windows PowerShell アクセスを提供しておらず、昇格された権限を必要とするディレクトリオブジェクト、ロール、およびグループへのアクセスを制限しています。AWS Microsoft AD では、Telnet、Secure Shell (SSH)、または Windows リモートデスクトップ接続を介したドメインコントローラーへのホスト直接アクセスは許可されていません。AWS Microsoft AD ディレクトリを作成すると、組織単位 (OU) と、OU の委任された管理権限を持つ管理アカウントが割り当てられます。Active Directory ユーザーとグループなどの標準のリモートサーバー管理ツールを使用して、OU 内にユーザーアカウント、グループ、およびポリシーを作成できます。