Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Qu'est-ce qui est créé avec votre Microsoft AD AWS géré Lorsque vous créez un Active Directory avec AWS Managed Microsoft AD, Directory Service vous effectuez les tâches suivantes en votre nom : + Crée et associe automatiquement une interface réseau Elastic (ENI) à chacun de vos contrôleurs de domaine. Chacun d'entre ENIs eux est essentiel pour la connectivité entre votre VPC et les contrôleurs de Directory Service domaine et ne doit jamais être supprimé. Vous pouvez identifier toutes les interfaces réseau réservées à l'utilisation Directory Service par la description : « interface réseau AWS créée pour le répertoire *directory-id* ». Pour plus d'informations, consultez [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dans le guide de l'*utilisateur Amazon EC2*. Le serveur DNS par défaut de l'annuaire Microsoft AD Active Directory AWS géré est le serveur DNS VPC avec Classless Inter-Domain Routing (CIDR) \+2. Pour plus d'informations, consultez le [serveur Amazon DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS) dans le guide de l'*utilisateur Amazon VPC*. **Note** Les contrôleurs de domaine sont déployés par défaut dans deux zones de disponibilité d'une région et connectés à votre Amazon VPC (VPC). Les sauvegardes sont effectuées automatiquement une fois par jour, et les volumes Amazon EBS (EBS) sont chiffrés pour garantir la sécurité des données au repos. Les contrôleurs de domaine qui échouent sont automatiquement remplacés dans la même zone de disponibilité à l'aide de la même adresse IP, et une reprise après sinistre complète peut être effectuée avec la dernière sauvegarde. + Met en service Active Directory dans votre VPC à l'aide de deux contrôleurs de domaine pour la tolérance aux pannes et la haute disponibilité. Des contrôleurs de domaine supplémentaires peuvent être mis en service pour une résilience et des performances supérieures une fois que l'annuaire a été créé avec succès et qu'il est [actif](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html). Pour de plus amples informations, veuillez consulter [Déploiement de contrôleurs de domaine supplémentaires pour votre Microsoft AD AWS géré](ms_ad_deploy_additional_dcs.md). **Note** AWS n'autorise pas l'installation d'agents de surveillance sur les contrôleurs de domaine Microsoft AD AWS gérés. + Crée un [groupe AWS de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) {{sg-1234567890abcdef0}} qui établit des règles réseau pour le trafic entrant et sortant de vos contrôleurs de domaine. La règle de trafic sortant par défaut autorise tout le trafic vers toutes les IPv4 adresses. Les règles entrantes par défaut autorisent uniquement le trafic via les ports requis par Active Directory à partir du bloc IPv4 CIDR principal associé à l'hébergement VPC pour votre Microsoft AD géré AWS . Pour plus de sécurité, ENIs les fichiers créés ne sont pas IPs associés à Elastic et vous n'êtes pas autorisé à y associer une adresse IP élastique ENIs. Par conséquent, par défaut, le seul trafic entrant capable de communiquer avec votre Microsoft AD AWS géré est le VPC local. Vous pouvez modifier les règles du groupe de sécurité pour autoriser des sources de trafic supplémentaires, par exemple en provenance d'autres pairs VPCs ou CIDRs accessibles via un VPN. Soyez extrêmement attentif si vous tentez de modifier ces règles, car vous risquez de ne plus pouvoir communiquer avec vos contrôleurs de domaine. Pour plus d’informations, consultez [AWS Meilleures pratiques en matière de gestion de Microsoft AD](ms_ad_best_practices.md) et [Amélioration de la configuration de sécurité de votre réseau AWS Managed Microsoft AD](ms_ad_network_security.md). Vous pouvez utiliser des [listes de préfixes]() pour gérer vos blocs CIDR dans le cadre des règles du groupe de sécurité. Les listes de préfixes facilitent la gestion et la configuration des groupes de sécurité et des tables de routage. Vous pouvez consolider plusieurs blocs CIDR avec le même port et les mêmes protocoles pour augmenter le trafic réseau. + Dans un Windows environnement, les clients communiquent souvent via le [serveur SMB (Server Message Block)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) ou le port 445. Ce protocole facilite diverses actions telles que le partage de fichiers et d'imprimantes et la communication réseau générale. Vous verrez le trafic des clients sur le port 445 vers les interfaces de gestion de vos contrôleurs de domaine Microsoft AD AWS gérés. Ce trafic se produit lorsque les clients SMB s'appuient sur la résolution de noms DNS (port 53) et NetBIOS (port 138) pour localiser les ressources de votre domaine Microsoft AD AWS géré. Ces clients sont dirigés vers n'importe quelle interface disponible sur les contrôleurs de domaine lors de la localisation des ressources du domaine. Ce comportement est normal et se produit souvent dans les environnements dotés de plusieurs adaptateurs réseau et dans lesquels [SMB Multicanal](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11)) permet aux clients d'établir des connexions via différentes interfaces afin d'améliorer les performances et la redondance. Les règles AWS de groupe de sécurité suivantes sont créées par défaut : **Règles entrantes** **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **Règles sortantes** **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Pour plus d'informations sur les ports et protocoles utilisés par Active Directory, consultez la section [Présentation des services et exigences relatives aux ports réseau pour Windows](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports) dans Microsoft la documentation. + Création d'un compte d'administrateur d'annuaire avec le nom d'utilisateur Admin et le mot de passe spécifié. Ce compte se trouve sous le Users OU (Par exemple, Corp > Users). Vous utilisez ce compte pour gérer votre répertoire dans le AWS Cloud. Pour de plus amples informations, veuillez consulter [AWS Compte administrateur Microsoft AD géré et autorisations de groupe](ms_ad_getting_started_admin_account.md). **Important** N'oubliez pas de sauvegarder ce mot de passe. Directory Service ne stocke pas ce mot de passe et il ne peut pas être récupéré. Vous pouvez toutefois réinitialiser un mot de passe depuis la Directory Service console ou à l'aide de l'[ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API. + Crée les trois unités organisationnelles suivantes (OUs) sous la racine du domaine : **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Crée les groupes suivants dans AWS Delegated Groups OU : **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **Note** Vous pouvez en ajouterAWS Delegated Groups. + Crée et applique les objets de stratégie de groupe suivants (GPOs) : **Note** Vous n'êtes pas autorisé à les supprimer, les modifier ou les GPOs dissocier. Ceci est intentionnel car ils sont réservés à AWS l'usage. Vous pouvez les lier à OUs celui que vous contrôlez si nécessaire. **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) Si vous souhaitez voir les paramètres de chaque GPO, vous pouvez les afficher à partir d'une instance Windows jointe au domaine avec la [console de gestion des stratégies de groupe (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)) activée. + Crée les éléments suivants default local accounts pour AWS la gestion de Microsoft AD : **Important** N'oubliez pas de sauvegarder le mot de passe administrateur. Directory Service ne stocke pas ce mot de passe et il ne peut pas être récupéré. Vous [pouvez toutefois réinitialiser un mot de passe depuis la Directory Service console](ms_ad_manage_users_groups_reset_password.md) ou à l'aide de l'[ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API. **Admin** AdminIl est directory administrator account créé lorsque le AWS Managed Microsoft AD est créé pour la première fois. Vous fournissez un mot de passe pour ce compte lorsque vous créez un AWS Managed Microsoft AD. Ce compte se trouve sous le Users OU (Par exemple, Corp > Users). Vous utilisez ce compte pour gérer votre Active Directory dans le AWS. Pour de plus amples informations, veuillez consulter [AWS Compte administrateur Microsoft AD géré et autorisations de groupe](ms_ad_getting_started_admin_account.md). **AWS*\_{{11111111111}}*** Tout nom de compte commençant par un AWS trait de soulignement et situé dans AWS Reserved OU est un compte géré par un service. Ce compte géré par le service est utilisé AWS pour interagir avec Active Directory. Ces comptes sont créés lorsque AWS Directory Service Data est activé et chaque nouvelle AWS application est autorisée sur Active Directory. Ces comptes ne sont accessibles que par les AWS services. **krbtgt account** Il krbtgt account joue un rôle important dans les échanges de tickets Kerberos utilisés par votre Managed AWS Microsoft AD. krbtgt accountIl s'agit d'un compte spécial utilisé pour le chiffrement des tickets d'octroi de tickets (TGT) Kerberos, et il joue un rôle crucial dans la sécurité du protocole d'authentification Kerberos. Pour plus d'informations, consultez [la documentation Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account). AWS fait automatiquement pivoter le krbtgt account mot de passe de votre Microsoft AD AWS géré deux fois tous les 90 jours. Il y a une période d'attente de 24 heures entre les deux rotations consécutives tous les 90 jours. Pour plus d'informations sur le compte administrateur et les autres comptes créés par Active Directory, consultez [Microsoftla documentation](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts).