Also habe ich in AWS ein Microsoft AD erstellt und konnte einen Computer der Domäne hinzufügen, nachdem ich den DHCP-Optionssatz geändert hatte. Anschließend habe ich den Computer neu gestartet und mich mit dem Administratorkonto angemeldet, das mit der Domäne erstellt wurde. Ich habe jedoch bald festgestellt, dass das Administratorkonto sehr strenge Berechtigungen hat. Ich kann neue Benutzer erstellen und Computer zum AD hinzufügen, aber das war es auch schon ... Ich kann keine Benutzer zur Domänenadministratorgruppe oder sogar zur Remotedesktopbenutzergruppe hinzufügen.
Weiß jemand, ob es beim Erstellen eines Windows Active Directory in AWS eine Möglichkeit gibt, auf das echte Administratorkonto zuzugreifen?
Antwort1
Mir ist aufgefallen, dass AWS delegierte Gruppen für Sie erstellt. Nachdem ich meine Benutzer zur Gruppe „Delegierte AWS-Administratoren“ hinzugefügt hatte, war alles in Ordnung.
Warum sie dich aus dem echten Domänenadministratorkonto und den Gruppen aussperren, ist mir allerdings schleierhaft ... seufz
Antwort2
Leider lautet die Antwort auf diese Frage „Nein“. Sie haben keinen Zugriff auf das „echte“ (also -500) Administratorkonto in der gehosteten AWS Microsoft AD-Lösung.
Glücklicherweise wird diese Einschränkung von Amazon bei der Recherche des Angebots klar dargelegt. Ich habe sie bisher nicht umgesetzt; wir prüfen gerade alle verschiedenen Anbieter und Optionen, und eines der ersten Dinge in den FAQ zum Service ist eine klare Bestätigung.
Amazon hat viel Zeit in die Vorbereitung/Automatisierung dieses Angebots investiert und es erfordert eine umfangreiche Delegation von Privilegien und Berechtigungen, damit Amazon-Kunden ausreichend Zugriff haben, um nahezu alle Optionen von Active Directory zu konfigurieren, ihnen gleichzeitig aber der Zugriff auf die AD-Verwaltung verwehrt bleibt.
Daraus folgt, dass sie dieselben Methoden verwenden würden, um sicherzustellen, dass Best Practices befolgt werden, insbesondere dass „Domänenadministratoren“ oder privilegierte Konten, die für die Verwaltung von AD verwendet werden,sollte nichtSeien Sie Administrator auf den Mitgliedscomputern.
Ungeachtet dessen ist es sinnvoll – wie könnten sie die Verfügbarkeit angemessen garantieren oder das Angebot unterstützen, wenn sie dem Benutzer die Möglichkeit einräumen, das Verzeichnis jederzeit zu löschen?
Um ein Managed-Service-Erlebnis zu bieten, muss AWS Microsoft AD Vorgänge von Kunden untersagen, die die Verwaltung des Services beeinträchtigen würden. Daher bietet AWS keinen Windows PowerShell-Zugriff auf Verzeichnisinstanzen und beschränkt den Zugriff auf Verzeichnisobjekte, Rollen und Gruppen, die erhöhte Berechtigungen erfordern. AWS Microsoft AD erlaubt keinen direkten Hostzugriff auf Domänencontroller über Telnet, Secure Shell (SSH) oder Windows Remote Desktop Connection. Wenn Sie ein AWS Microsoft AD-Verzeichnis erstellen, werden Ihnen eine Organisationseinheit (OU) und ein Administratorkonto mit delegierten Administratorrechten für die OU zugewiesen. Sie können Benutzerkonten, Gruppen und Richtlinien innerhalb der OU erstellen, indem Sie standardmäßige Remoteserver-Verwaltungstools wie Active Directory-Benutzer und -Gruppen verwenden.