如何在没有域管理员帐户的AWS目录服务上设置AD？

Question

我已经创建了一个AWS管理的Microsoft，并且我有一个WindowsServer2019 EC2实例，在这里我试图启用AWS。我已经将EC2实例加入到域，安装了AD工具，并且能够使用默认的AD管理用户执行基本的AD任务。到目前一切尚好。

然而，当我试图配置AD FS时，我会遇到这个错误。

“提供的凭据不是域管理员。请提供作为域管理员组成员的凭据，然后再试一次。

​

​

​

看看AWS的文档，我发现了这个。

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_admin_account.html

为了对您的目录执行操作管理，AWS具有企业管理员和域管理员特权的帐户独占控制。--包括对AD管理员帐户的独占控制。

所以..。除非我能够访问AD管理员帐户，否则我怎么可能启用AD FS？

Answer 1

你不能这么做。

安装ADFS时，它会搜索可用的DC并将许多条目写入AD。

要做到这一点，它需要域管理。

你不需要域名管理。运行ADFS。它可以使用服务帐户。

Answer 2

这是AWS目录服务的一个真正可悲的限制，但令人惊讶的是，AWS自己在其博客文章中提出了在AWS托管目录服务上安装AWS的巧妙方法：https://aws.amazon.com/blogs/security/how-to-enable-your-users-to-access-office-365-with-aws-microsoft-active-directory-credentials/

博客文章的意思是，您可以为as创建一个自定义容器，然后让as服务使用它(而不是默认容器，因为您对整个域没有完全的管理权限)。

我不会在这里提供食谱，因为它在上面提到的文章中有很好的描述。