Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD - AWS Directory Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD

Um einen Computer mit Ihrem AWS verwalteten Microsoft AD hinzuzufügen, benötigen Sie ein Konto, das über die Rechte verfügt, Computer mit dem Verzeichnis zu verbinden.

Mit AWS Directory Service for Microsoft Active Directory verfügen Mitglieder der Gruppen Admins und AWS Delegated Server Administrators über diese Rechte.

Als bewährte Methode empfehlen wir Ihnen, ein Konto zu verwenden, das nur die mindestens erforderlichen Berechtigungen hat. Die folgenden Schritte veranschaulichen, wie Sie eine neue Gruppe mit dem Namen Joiners erstellen und die Berechtigungen, die für die Verbindung von Computern mit dem Verzeichnis erforderlich sind, an diese Gruppe delegieren.

Sie müssen dieses Verfahren auf einem Computer ausführen, der mit Ihrem Verzeichnis verknüpft ist und auf dem das MMC Snap-In „Active Directory-Benutzer und -Computer“ installiert ist. Außerdem müssen Sie als Domain-Administrator angemeldet sein.

So delegieren Sie Beitrittsberechtigungen für AWS Managed Microsoft AD

  1. Öffnen Sie .Active Directory Benutzer und Computer und wählen Sie in der Navigationsstruktur die Organisationseinheit (OU) aus, die Ihren BIOS Netzwerknamen hat, und wählen Sie dann die Organisationseinheit „Benutzer“ aus.

    Wichtig

    Wenn Sie einen AWS Directory Service für Microsoft Active Directory starten, AWS wird eine Organisationseinheit (OU) erstellt, die alle Objekte Ihres Verzeichnisses enthält. Diese Organisationseinheit, die den BIOS Netznamen hat, den Sie bei der Erstellung Ihres Verzeichnisses eingegeben haben, befindet sich im Domänenstamm. Der Domänenstamm gehört und wird von AWS diesem verwaltet. Sie können keine Änderungen am Domänenstamm selbst vornehmen. Daher müssen Sie die Joiners Gruppe innerhalb der Organisationseinheit erstellen, die Ihren BIOS Netznamen hat.

  2. Öffnen Sie das Kontextmenü (Rechtsklick) für Users, wählen Sie New und dann Group.

  3. Geben Sie im Dialogfeld New Object - Group Folgendes ein und klicken Sie auf OK.

    • Geben Sie in Group Name (Gruppenname) Joiners ein.

    • Wählen Sie für Group scope die Option Global.

    • Wählen Sie für Group type die Option Security.

  4. Wählen Sie in der Navigationsstruktur den Container Computer unter Ihrem BIOS Netzwerknamen aus. Wählen Sie im Menü Action die Option Delegate Control aus.

  5. Wählen Sie auf der Seite Delegation of Control Wizard Next und dann Add.

  6. Geben Sie in das Dialogfeld Select Users, Computers, or Groups Joiners ein und klicken Sie auf OK. Wenn mehr als ein Objekt gefunden wurde, wählen Sie die oben erstellte Gruppe Joiners. Wählen Sie Weiter.

  7. Wählen Sie auf der Seite Tasks to Delegate Create a custom task to delegate und dann Next.

  8. Wählen Sie Only the following objects in the folder und dann Computer objects.

  9. Wählen Sie Create selected objects in this folder und Delete selected objects in this folder. Wählen Sie anschließend Weiter.

    Objekttyp

  10. Wählen Sie Read und Write und dann Next.

    Objekttyp

  11. Überprüfen Sie auf der Seite Den Assistenten für die Delegation der Kontrolle abschließen die Informationen und wählen Sie Fertigstellen.

  12. Erstellen Sie einen Benutzer mit einem sicheren Passwort und fügen Sie diesen Benutzer zur Gruppe Joiners hinzu. Dieser Benutzer muss sich im Benutzercontainer befinden, der sich unter Ihrem BIOS Netzwerknamen befindet. Der Benutzer hat dann alle nötigen Berechtigungen, um Instances mit dem Verzeichnis zu verbinden.