如何在没有域管理员帐户的情况下在 AWS Directory Service 上设置 AD FS?
How to set up AD FS on AWS Directory Service without Domain Administrator account?
我创建了一个 AWS Managed Microsoft AD,并且我有一个 Windows Server 2019 EC2 实例,我正在尝试启用 AD FS。我已将 EC2 实例加入域,安装了 AD 工具,并且能够使用默认的 AD 管理员用户执行基本的 AD 任务。到目前为止一切顺利。
然而,当我尝试配置 AD FS 时,我遇到了这个错误
"The credential provided is not a domain administrator. Provide a
credential that is a member of the Domain Admins group and try again."
查看 AWS 文档,我发现了这一点。
To perform operational management of your directory, AWS has exclusive
control of accounts with Enterprise Administrator and Domain
Administrator privileges. This includes exclusive control of the AD administrator account.
所以.....除非我有权访问 AD 管理员帐户,否则我怎么可能启用 AD FS?
你不能。
当您安装 ADFS 时,它会搜索可用的 DC 并将许多条目写入 AD。
为此,它需要域管理员。
您不需要域管理员。到 运行 ADFS。它可以使用服务帐户。
这是 AWS Directory Service 的一个真正可悲的限制,直到令人惊讶的是,AWS 自己在他们的博客 post 中提出了一种在 AWS Managed Directory Service 上安装 AD FS 的狡猾方法:https://aws.amazon.com/blogs/security/how-to-enable-your-users-to-access-office-365-with-aws-microsoft-active-directory-credentials/
博客 post 所说的是您可以为 AD FS 创建一个自定义容器,然后让 AD FS 服务使用它(而不是默认容器,因为您没有对整个域的完全管理权限)。
我不会在这里提供食谱,因为它在上面引用的文章中有很好的描述。
我创建了一个 AWS Managed Microsoft AD,并且我有一个 Windows Server 2019 EC2 实例,我正在尝试启用 AD FS。我已将 EC2 实例加入域,安装了 AD 工具,并且能够使用默认的 AD 管理员用户执行基本的 AD 任务。到目前为止一切顺利。
然而,当我尝试配置 AD FS 时,我遇到了这个错误
"The credential provided is not a domain administrator. Provide a credential that is a member of the Domain Admins group and try again."
查看 AWS 文档,我发现了这一点。
To perform operational management of your directory, AWS has exclusive control of accounts with Enterprise Administrator and Domain Administrator privileges. This includes exclusive control of the AD administrator account.
所以.....除非我有权访问 AD 管理员帐户,否则我怎么可能启用 AD FS?
你不能。
当您安装 ADFS 时,它会搜索可用的 DC 并将许多条目写入 AD。
为此,它需要域管理员。
您不需要域管理员。到 运行 ADFS。它可以使用服务帐户。
这是 AWS Directory Service 的一个真正可悲的限制,直到令人惊讶的是,AWS 自己在他们的博客 post 中提出了一种在 AWS Managed Directory Service 上安装 AD FS 的狡猾方法:https://aws.amazon.com/blogs/security/how-to-enable-your-users-to-access-office-365-with-aws-microsoft-active-directory-credentials/
博客 post 所说的是您可以为 AD FS 创建一个自定义容器,然后让 AD FS 服务使用它(而不是默认容器,因为您没有对整个域的完全管理权限)。
我不会在这里提供食谱,因为它在上面引用的文章中有很好的描述。