因此,在 AWS 中,我创建了一个 Microsoft AD,并在更改 DHCP 选项集后设法将计算机加入域。然后我重新启动机器并以使用域创建的管理员帐户登录,但很快意识到管理员帐户具有非常严格的权限。我可以创建新用户并将计算机添加到 AD,但仅此而已......我无法将用户添加到域管理员组甚至远程桌面用户组。
任何人都知道在AWS中创建Windows活动目录时是否有任何方法可以访问真正的管理员帐户?
AskOverflow.Dev
因此,在 AWS 中,我创建了一个 Microsoft AD,并在更改 DHCP 选项集后设法将计算机加入域。然后我重新启动机器并以使用域创建的管理员帐户登录,但很快意识到管理员帐户具有非常严格的权限。我可以创建新用户并将计算机添加到 AD,但仅此而已......我无法将用户添加到域管理员组甚至远程桌面用户组。
任何人都知道在AWS中创建Windows活动目录时是否有任何方法可以访问真正的管理员帐户?
注意到 AWS 为您创建了委派组,所以在我将我的用户添加到“AWS 委派管理员”组之后,一切都很好。
至于为什么他们将您锁定在真正的域管理员帐户和组之外,但我无法理解……叹息
不幸的是,这个问题的答案是“不”。您无权访问托管 AWS Microsoft AD 解决方案中的“真实”(即 -500)管理员帐户。
值得庆幸的是,亚马逊在研究产品时明确提出了这一限制。我还没有实现它;我们只是在审查所有不同的提供商和选项,服务常见问题解答中的第一件事就是明确确认。
亚马逊投入了大量时间来准备/自动化此产品,它需要大量的特权和权限委派,以便亚马逊的客户可以有足够的访问权限来配置几乎所有的 Active Directory 选项,同时不允许客户访问 AD 管理。
因此,他们将使用这些相同的方法来确保遵循最佳实践,特别是,用于管理 AD 的“域管理员”或特权帐户不应是成员计算机上的管理员。
无论如何,这是有道理的——如果他们授予用户随时访问目录的能力,他们如何正确保证正常运行时间或支持产品?
来源:AWS Microsoft AD 常见问题