Então, na AWS, criei um Microsoft AD e consegui ingressar um computador no domínio após alterar o conjunto de opções de DHCP. Em seguida, reiniciei a máquina e fiz login como a conta de administrador criada com o domínio, mas logo percebi que a conta de administrador tinha privilégios muito rígidos. Posso criar novos usuários e adicionar computadores ao AD, mas isso é tudo... Não consigo adicionar usuários ao grupo de administração do domínio ou mesmo ao grupo de usuários da área de trabalho remota.
Alguém sabe se existe alguma maneira de acessar a conta de administrador real ao criar um diretório ativo do Windows na AWS?
Responder1
Percebi que a AWS cria grupos delegados para você, então, depois de adicionar meus usuários ao grupo "Administradores delegados da AWS", tudo ficou bem.
O motivo pelo qual eles bloqueiam você da conta e dos grupos de administrador de domínio real está além da minha compreensão ... suspiro
Responder2
Infelizmente, a resposta à pergunta é “Não”. Você não tem acesso à conta de administrador "real" (ou seja, -500) na solução hospedada do AWS Microsoft AD.
Felizmente, esta limitação é claramente definida pela Amazon ao pesquisar a oferta. Ainda não o implementei; estamos apenas analisando todos os vários provedores e opções, e uma das primeiras coisas nas Perguntas frequentes do serviço é uma confirmação clara.
A Amazon dedicou muito tempo para preparar/automatizar esta oferta e isso requer uma grande delegação de privilégios e permissões para que o cliente da Amazon possa ter acesso suficiente para configurar quase todas as opções do Active Directory e, ao mesmo tempo, não permitir acesso do cliente ao gerenciamento do AD.
Conclui-se que eles usariam esses mesmos métodos para garantir que as práticas recomendadas fossem seguidas, especificamente, que "Administradores de domínio" ou contas privilegiadas usadas para gerenciar o ADnão deveriaser administradores em computadores membros.
Independentemente disso, faz sentido - como eles poderiam garantir adequadamente o tempo de atividade ou apoiar a oferta se concedessem ao usuário a capacidade de acessar o diretório a qualquer momento?
Para oferecer uma experiência de serviço gerenciado, o AWS Microsoft AD deve proibir operações de clientes que possam interferir no gerenciamento do serviço. Portanto, a AWS não fornece acesso do Windows PowerShell a instâncias de diretório e restringe o acesso a objetos de diretório, funções e grupos que exigem privilégios elevados. O AWS Microsoft AD não permite acesso direto do host a controladores de domínio via Telnet, Secure Shell (SSH) ou conexão de área de trabalho remota do Windows. Ao criar um diretório AWS Microsoft AD, você recebe uma unidade organizacional (OU) e uma conta administrativa com direitos administrativos delegados para a OU. Você pode criar contas de usuário, grupos e políticas na unidade organizacional usando ferramentas padrão de administração de servidor remoto, como usuários e grupos do Active Directory.