AWS
ActiveDirectory

AWSでMicrosoft ADがサポートされたので試してみた

More than 3 years have passed since last update.

Windows Server 2012 R2で動くドメインコントローラがDirectory Serviceで使えるようになりました!!!

これでまた一歩、EC2から離れることができますw

というわけで、実際に環境を構築してみました。


環境構築


ディレクトリの種類を選択

Microsoft ADが選べます!

AWS Directory Service Console.png


詳細設定

ここはSimple ADとほぼ同じですね。

管理者のユーザ名がAdminなので、Domain Adminsの権限は付与されないんだろうと想定。

Managed Serviceなので当然ではありますね。

たぶんRDPでの接続も無理でしょうね、たぶん。

(あとで確認します。)

異なるAZに1インスタンスずつできるのも同じですね。

AWS Directory Service Console (1).png


確認

無料枠あるみたいですね!

AWS Directory Service Console (2).png


あとは待つだけ

これだけ。

簡単すぎワロタw

作成には30分程度かかりそうです。

AWS Directory Service Console (3).png


ドメインに参加

普通にできました。

事前にDNSサーバにドメインコントローラのIPアドレスを設定しておきます。

本番環境ではVPCのDHCP Optionの利用も検討しましょう。


できないこと

結論を言うと、Adminにはあまり権限がありません。

確認できた権限(メンバーになっているビルトイングループ)は以下の通り。(ざっくり確認しただけですので、もっとあるかも。)


  • Certificate Service DCOM Access

  • DNS Admin

  • Incomming Forest Trust Builders

  • Group Policy Creator Owners

  • Domain Users

msad15.png

msad09.png

msad10.png

msad11.png

権限の委任設定もできませんでした。

特定のOUに対しては可能でした。

msad12.png

msad19.png

リモートデスクトップ接続もだめ

msad14.png

(追記)PowerShellもダメだったwww

msad16.png


(追記)ログの閲覧

Event Log Viewerでドメインコントローラに接続してみましたが、

「DNS event logs」「security event logs」のみ閲覧可能でした。

あとは軒並みAccess Denied!

msad17.png

msad18.png


その他


スキーマ拡張

スキーマ拡張もしてくれるのかな?

これは責任の線引き難しそう・・・

AWS Directory Service Console (4).png

(追記)個別に申請するようです!

Schema Extensions.png


フォレスト間信頼

いいですねー!

AWS Directory Service Console (6).png


まとめ


  • 互換性を気にしなくて良いので、かなり導入の敷居は下がった

  • 権限はあまり付与されていないので、その点は検証が必要

  • フォレスト間信頼でオンプレADとの連携ができるっぽい

  • スキーマの拡張、誰か人柱になってwww


要望


  • Managed ADFSはよ!!!!!

  • オンプレADからのマイグレーションはよ!!!!!