AWS Directory Service 管理員沒有任何權限?
因此,在 AWS 中,我創建了一個 Microsoft AD,並在更改 DHCP 選項集後設法將電腦加入域。然後我重新啟動機器並以使用域創建的管理員帳戶登錄,但很快意識到管理員帳戶具有非常嚴格的權限。我可以創建新使用者並將電腦添加到 AD,但僅此而已……我無法將使用者添加到域管理員組甚至遠端桌面使用者組。
任何人都知道在AWS中創建Windows活動目錄時是否有任何方法可以訪問真正的管理員帳戶?
注意到 AWS 為您創建了委派組,所以在我將我的使用者添加到“AWS 委派管理員”組之後,一切都很好。
至於為什麼他們將您鎖定在真正的域管理員帳戶和組之外,但我無法理解……嘆息
不幸的是,這個問題的答案是“不”。您無權訪問託管 AWS Microsoft AD 解決方案中的“真實”(即 -500)管理員帳戶。
值得慶幸的是,亞馬遜在研究產品時明確提出了這一限制。我還沒有實現它;我們只是在審查所有不同的提供商和選項,服務常見問題解答中的第一件事就是明確確認。
亞馬遜在準備/自動化此產品上投入了大量時間,它需要大量的特權和權限委派,以便亞馬遜的客戶可以有足夠的訪問權限來配置幾乎所有的 Active Directory 選項,同時不允許客戶訪問 AD 管理。
因此,他們將使用這些相同的方法來確保遵循最佳實踐,特別是,用於管理 AD 的“域管理員”或特權帳戶不應是成員電腦上的管理員。
無論如何,這是有道理的 - 如果他們授予使用者隨時訪問目錄的能力,他們如何正確保證正常執行時間或支持產品?
為了提供託管服務體驗,AWS Microsoft AD 必須禁止客戶進行會干擾管理服務的操作。因此,AWS 不提供對目錄實例的 Windows PowerShell 訪問,它限制對需要提升權限的目錄對象、角色和組的訪問。AWS Microsoft AD 不允許主機通過 Telnet、安全外殼 (SSH) 或 Windows 遠端桌面連接直接訪問域控制器。當您創建 AWS Microsoft AD 目錄時,您將被分配一個組織單位 (OU) 和一個管理賬戶,該賬戶具有該 OU 的委派管理權限。您可以使用標準遠端伺服器管理工具(例如 Active Directory 使用者和組)在 OU 中創建使用者帳戶、組和策略。