因此,在 AWS 中,我建立了一個 Microsoft AD,並在更改 DHCP 選項集後設法將電腦加入網域。然後我重新啟動電腦並以使用網域建立的管理員帳戶登錄,但很快就意識到管理員帳戶具有非常嚴格的權限。我可以建立新使用者並將電腦新增至 AD,但僅此而已...我無法將使用者新增至網域管理員群組,甚至無法新增至遠端桌面使用者群組。
有人知道在AWS中建立Windows Active Directory時是否有任何方法可以存取真正的管理員帳戶?
答案1
注意到 AWS 為您建立了委派群組,因此在我將使用者新增至「AWS 委派管理員」群組後,一切都很好。
至於為什麼他們將您鎖定在真正的網域管理員帳戶和群組之外,我超出了我的範圍......嘆息
答案2
不幸的是,這個問題的答案是「否」。您無權存取託管 AWS Microsoft AD 解決方案中的「真實」(即 -500)管理員帳戶。
值得慶幸的是,亞馬遜在研究該產品時明確指出了這個限制。我還沒有實施它;我們只是審查所有不同的提供者和選項,該服務的常見問題解答中的第一件事就是明確確認。
亞馬遜投入了大量時間來準備/自動化此產品,並且需要大量的特權和權限委派,以便亞馬遜的客戶能夠有足夠的訪問權限來配置 Active Directory 的幾乎所有選項,同時不允許客戶訪問AD管理。
因此,他們將使用這些相同的方法來確保遵循最佳實踐,特別是用於管理 AD 的「網域管理員」或特權帳戶不應該成為成員計算機的管理員。
無論如何,這是有道理的 - 如果他們授予用戶隨時訪問目錄的能力,他們如何能夠正確保證正常運行時間或支援該產品?
為了提供託管服務體驗,AWS Microsoft AD 必須禁止客戶進行會幹擾服務管理的操作。因此,AWS 不提供對目錄實例的 Windows PowerShell 訪問,並且限制對需要提升權限的目錄物件、角色和群組的存取。 AWS Microsoft AD 不允許主機透過 Telnet、Secure Shell (SSH) 或 Windows 遠端桌面連線直接存取網域控制站。當您建立 AWS Microsoft AD 目錄時,系統會為您指派一個組織單位 (OU) 和一個具有該 OU 委派管理權限的管理帳戶。您可以使用標準遠端伺服器管理工具(例如 Active Directory 使用者和群組)在 OU 內建立使用者帳戶、群組和原則。