因此,我在 AWS 中创建了一个 Microsoft AD,并在更改 DHCP 选项集后设法将计算机加入域。然后,我重新启动了机器,并以域创建的管理员帐户身份登录,但很快意识到管理员帐户具有非常严格的权限。我可以创建新用户并将计算机添加到 AD,但仅此而已...我无法将用户添加到域管理员组,甚至无法添加到远程桌面用户组。
有人知道在 AWS 中创建 Windows 活动目录时是否有任何方法可以访问真实管理员帐户吗?
答案1
注意到 AWS 为您创建了委派组,因此在我将我的用户添加到“AWS 委派管理员”组后一切都正常。
至于为什么他们会将你锁定在真正的域管理员帐户和组之外,我实在无法理解……叹息
答案2
不幸的是,这个问题的答案是“否”。您无权访问托管 AWS Microsoft AD 解决方案中的“真实”(即 -500) 管理员帐户。
值得庆幸的是,亚马逊在研究产品时明确列出了这一限制。我还没有实施它;我们只是在审查所有不同的提供商和选项,服务常见问题解答中的第一件事就是明确确认。
亚马逊投入了大量时间来准备/自动化此产品,并且它需要大量的特权和权限委派,以便亚马逊的客户能够有足够的访问权限来配置 Active Directory 的几乎所有选项,同时不允许客户访问 AD 管理。
因此,他们将使用相同的方法来确保遵循最佳实践,具体来说,用于管理 AD 的“域管理员”或特权帐户不应该成为成员计算机的管理员。
不管怎样,这都是有道理的——如果他们授予用户随时关闭目录的权限,他们如何能够正确保证正常运行时间或支持产品?
为了提供托管服务体验,AWS Microsoft AD 必须禁止客户进行干扰服务管理的操作。因此,AWS 不提供对目录实例的 Windows PowerShell 访问权限,并限制对需要提升权限的目录对象、角色和组的访问。AWS Microsoft AD 不允许主机通过 Telnet、安全 Shell (SSH) 或 Windows 远程桌面连接直接访问域控制器。创建 AWS Microsoft AD 目录时,会为您分配一个组织单位 (OU) 和一个具有委派的 OU 管理权限的管理账户。您可以使用标准远程服务器管理工具(如 Active Directory 用户和组)在 OU 内创建用户账户、组和策略。