그래서 AWS에서 Microsoft AD를 생성하고 DHCP 옵션 세트를 변경한 후 컴퓨터를 도메인에 가입시켰습니다. 그런 다음 컴퓨터를 재부팅하고 도메인으로 생성된 관리자 계정으로 로그인했지만 곧 관리자 계정이 매우 엄격한 권한을 가지고 있음을 깨달았습니다. 새 사용자를 생성하고 AD에 컴퓨터를 추가할 수 있지만 그게 전부입니다. 도메인 관리자 그룹이나 원격 데스크톱 사용자 그룹에도 사용자를 추가할 수 없습니다.
AWS에서 Windows Active Directory를 생성할 때 실제 관리자 계정에 액세스할 수 있는 방법이 있는지 아는 사람이 있습니까?
답변1
AWS가 귀하를 위해 위임된 그룹을 생성한다는 것을 확인했기 때문에 "AWS 위임된 관리자" 그룹에 내 사용자를 추가한 후에는 모든 것이 문제가 되지 않았습니다.
실제 도메인 관리자 계정 및 그룹에서 사용자를 잠그는 이유는 제 능력 밖의 일입니다... 한숨
답변2
불행히도 질문에 대한 대답은 "아니요"입니다. 호스팅된 AWS Microsoft AD 솔루션의 "실제"(예: -500) 관리자 계정에 액세스할 수 없습니다.
고맙게도 Amazon에서는 제품을 조사할 때 이러한 제한 사항을 명확하게 명시했습니다. 아직 구현하지 않았습니다. 우리는 다양한 공급자와 옵션을 모두 검토하고 있으며 서비스에 대한 FAQ의 첫 번째 항목 중 하나는 명확한 확인입니다.
Amazon은 이 서비스를 준비/자동화하는 데 많은 시간을 투자했으며 Amazon 고객이 Active Directory의 거의 모든 옵션을 구성하는 동시에 허용하지 않는 동시에 거의 모든 옵션을 구성할 수 있는 충분한 액세스 권한을 가질 수 있도록 많은 권한 및 권한 위임이 필요합니다. AD 관리에 대한 고객 액세스.
모범 사례, 특히 AD 관리에 사용되는 "도메인 관리자" 또는 권한 있는 계정이 준수되는지 확인하기 위해 이와 동일한 방법을 사용하게 됩니다.해서는 안 된다구성원 컴퓨터의 관리자가 되어야 합니다.
그럼에도 불구하고, 사용자에게 언제든지 디렉토리를 연결할 수 있는 기능을 부여한 경우 가동 시간을 적절하게 보장하거나 서비스를 지원할 수 있는 방법은 무엇입니까?
관리형 서비스 경험을 제공하기 위해 AWS Microsoft AD는 서비스 관리를 방해하는 고객의 작업을 허용하지 않아야 합니다. 따라서 AWS는 디렉터리 인스턴스에 대한 Windows PowerShell 액세스를 제공하지 않으며, 높은 권한이 필요한 디렉터리 객체, 역할 및 그룹에 대한 액세스를 제한합니다. AWS Microsoft AD는 Telnet, SSH(Secure Shell) 또는 Windows 원격 데스크톱 연결을 통한 도메인 컨트롤러에 대한 직접적인 호스트 액세스를 허용하지 않습니다. AWS Microsoft AD 디렉터리를 생성하면 조직 단위(OU)와 해당 OU에 대해 위임된 관리 권한이 있는 관리 계정이 할당됩니다. Active Directory 사용자 및 그룹과 같은 표준 원격 서버 관리 도구를 사용하여 OU 내에 사용자 계정, 그룹 및 정책을 만들 수 있습니다.