Итак, в AWS я создал Microsoft AD и сумел присоединить компьютер к домену после изменения набора параметров DHCP. Затем я перезагрузил машину и вошел в систему как учетная запись администратора, созданная с доменом, но вскоре понял, что учетная запись администратора имеет очень строгие привилегии. Я могу создавать новых пользователей и добавлять компьютеры в AD, но это все... Я не могу добавлять пользователей в группу администраторов домена или даже в группу пользователей удаленного рабочего стола.
Кто-нибудь знает, есть ли способ получить доступ к реальной учетной записи администратора при создании Windows Active Directory в AWS?
решение1
Заметил, что AWS создает для вас делегированные группы, поэтому после того, как я добавил своих пользователей в группу «AWS delegated administrators», все стало нормально.
А вот почему они блокируют вам доступ к настоящей учетной записи администратора домена и группам, мне непонятно... вздох
решение2
К сожалению, ответ на вопрос — «Нет». У вас нет доступа к «реальной» (т.е. -500) учетной записи администратора в размещенном решении AWS Microsoft AD.
К счастью, это ограничение четко указано Amazon при исследовании предложения. Я еще не реализовал его; мы просто рассматриваем всех различных поставщиков и варианты, и одним из первых пунктов в FAQ по сервису является четкое подтверждение.
Amazon потратила много времени на подготовку/автоматизацию этого предложения, и оно требует значительного делегирования привилегий и разрешений, чтобы клиенты Amazon могли иметь достаточный доступ для настройки практически всех параметров Active Directory, не предоставляя при этом клиентам доступа к управлению AD.
Из этого следует, что они будут использовать те же методы для обеспечения соблюдения передовых практик, в частности, чтобы «администраторы домена» или привилегированные учетные записи использовались для управления AD.не должнабыть администраторами на компьютерах участников.
В любом случае, это имеет смысл — как они могли бы должным образом гарантировать бесперебойную работу или поддержку предложения, если бы они предоставили пользователю возможность в любое время зайти в каталог?
Для предоставления управляемого сервиса AWS Microsoft AD должен запретить клиентам операции, которые могут помешать управлению сервисом. Поэтому AWS не предоставляет доступ Windows PowerShell к экземплярам каталога и ограничивает доступ к объектам каталога, ролям и группам, которым требуются повышенные привилегии. AWS Microsoft AD не разрешает прямой доступ хоста к контроллерам домена через Telnet, Secure Shell (SSH) или подключение к удаленному рабочему столу Windows. При создании каталога AWS Microsoft AD вам назначается организационное подразделение (OU) и административная учетная запись с делегированными административными правами для OU. Вы можете создавать учетные записи пользователей, группы и политики в рамках OU с помощью стандартных инструментов удаленного администрирования сервера, таких как пользователи и группы Active Directory.