Entonces, en AWS creé un Microsoft AD y logré unir una computadora al dominio después de cambiar el conjunto de opciones de DHCP. Luego reinicié la máquina e inicié sesión como la cuenta de administrador que se creó con el dominio, pero pronto me di cuenta de que la cuenta de administrador tiene privilegios muy estrictos. Puedo crear nuevos usuarios y agregar computadoras al AD, pero eso es todo... No puedo agregar usuarios al grupo de administración del dominio ni siquiera al grupo de usuarios de escritorio remoto.
¿Alguien sabe si hay alguna forma de acceder a la cuenta de administrador real al crear un directorio activo de Windows en AWS?
Respuesta1
Noté que AWS crea grupos delegados para usted, así que después de agregar a mis usuarios al grupo "Administradores delegados de AWS", todo estuvo bien.
Sin embargo, en cuanto a por qué te bloquean el acceso a la cuenta de administrador del dominio real y a los grupos, me supera...
Respuesta2
Desafortunadamente, la respuesta a la pregunta es "No". No tiene acceso a la cuenta de administrador "real" (es decir, -500) en la solución alojada de AWS Microsoft AD.
Afortunadamente, Amazon establece claramente esta limitación al investigar la oferta. Todavía no lo he implementado; apenas estamos revisando todos los distintos proveedores y opciones, y una de las primeras cosas en las preguntas frecuentes sobre el servicio es una confirmación clara.
Amazon ha dedicado mucho tiempo a preparar/automatizar esta oferta y requiere una gran delegación de privilegios y permisos para que el cliente de Amazon pueda tener suficiente acceso para configurar casi todas las opciones de Active Directory y al mismo tiempo no permitir acceso del cliente a la gestión de AD.
De ello se deduce que usarían estos mismos métodos para garantizar que se siguieran las mejores prácticas, específicamente, que los "Administradores de dominio" o cuentas privilegiadas utilizadas para administrar ADno debeser administradores en las computadoras de los miembros.
De todos modos, tiene sentido: ¿cómo podrían garantizar adecuadamente el tiempo de actividad o respaldar la oferta si otorgaran al usuario la posibilidad de acceder al directorio en cualquier momento?
Para ofrecer una experiencia de servicio administrado, AWS Microsoft AD debe no permitir operaciones por parte de los clientes que puedan interferir con la administración del servicio. Por lo tanto, AWS no proporciona acceso de Windows PowerShell a instancias de directorio y restringe el acceso a objetos, roles y grupos de directorio que requieren privilegios elevados. AWS Microsoft AD no permite el acceso directo del host a los controladores de dominio a través de Telnet, Secure Shell (SSH) o Conexión a Escritorio remoto de Windows. Cuando crea un directorio de AWS Microsoft AD, se le asigna una unidad organizativa (OU) y una cuenta administrativa con derechos administrativos delegados para la OU. Puede crear cuentas de usuario, grupos y políticas dentro de la unidad organizativa mediante el uso de herramientas de administración remota del servidor estándar, como usuarios y grupos de Active Directory.