Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD - AWS Directory Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD

Um einen Computer mit Ihrem AWS verwalteten Microsoft AD hinzuzufügen, benötigen Sie ein Konto, das über die Rechte verfügt, Computer mit dem Verzeichnis zu verbinden.

Mit AWS Directory Service for Microsoft Active Directory verfügen Mitglieder der Gruppen Admins und AWS Delegated Server Administrators über diese Rechte.

Als bewährte Methode empfehlen wir Ihnen, ein Konto zu verwenden, das nur die mindestens erforderlichen Berechtigungen hat. Die folgenden Schritte veranschaulichen, wie Sie eine neue Gruppe mit dem Namen Joiners erstellen und die Berechtigungen, die für die Verbindung von Computern mit dem Verzeichnis erforderlich sind, an diese Gruppe delegieren.

Sie müssen diesen Vorgang auf einem Computer durchführen, der mit Ihrem Verzeichnis verbunden ist und auf dem das MMC-Snap-In Active Directory Benutzer und Computer installiert ist. Außerdem müssen Sie als Domain-Administrator angemeldet sein.

So delegieren Sie Beitrittsberechtigungen für AWS Managed Microsoft AD

  1. Öffnen Sie .Active Directory Benutzer und Computer und wählen Sie die Organisationseinheit (OU) mit Ihrem NetBIOS-Namen in der Navigationsstruktur aus, und wählen Sie dann die Organisationseinheit „Benutzer“ aus.

    Wichtig

    Wenn Sie einen AWS Directory Service für Microsoft Active Directory starten, AWS wird eine Organisationseinheit (OU) erstellt, die alle Objekte Ihres Verzeichnisses enthält. Diese OU erhält den NetBIOS-Namen, den Sie beim Erstellen des Verzeichnisses eingegeben haben, und befindet sich im Domainstamm. Der Domänenstamm gehört und wird von diesem verwaltet AWS. Am Domainstamm selbst können Sie keine Änderungen vornehmen. Daher müssen Sie die Joiners-Gruppe in der OU mit Ihrem NetBIOS-Namen erstellen.

  2. Öffnen Sie das Kontextmenü (Rechtsklick) für Users, wählen Sie New und dann Group.

  3. Geben Sie im Dialogfeld New Object - Group Folgendes ein und klicken Sie auf OK.

    • Geben Sie in Group Name (Gruppenname) Joiners ein.

    • Wählen Sie für Group scope die Option Global.

    • Wählen Sie für Group type die Option Security.

  4. Wählen Sie in der Navigationsstruktur unter Ihrem NetBIOS-Namen den Container Computers aus. Wählen Sie im Menü Action die Option Delegate Control aus.

  5. Wählen Sie auf der Seite Delegation of Control Wizard Next und dann Add.

  6. Geben Sie in das Dialogfeld Select Users, Computers, or Groups Joiners ein und klicken Sie auf OK. Wenn mehr als ein Objekt gefunden wurde, wählen Sie die oben erstellte Gruppe Joiners. Wählen Sie Weiter.

  7. Wählen Sie auf der Seite Tasks to Delegate Create a custom task to delegate und dann Next.

  8. Wählen Sie Only the following objects in the folder und dann Computer objects.

  9. Wählen Sie Create selected objects in this folder und Delete selected objects in this folder. Wählen Sie anschließend Weiter.

    Objekttyp

  10. Wählen Sie Read und Write und dann Next.

    Objekttyp

  11. Überprüfen Sie auf der Seite Den Assistenten für die Delegation der Kontrolle abschließen die Informationen und wählen Sie Fertigstellen.

  12. Erstellen Sie einen Benutzer mit einem sicheren Passwort und fügen Sie diesen Benutzer zur Gruppe Joiners hinzu. Der Benutzer muss unter Ihrem NetBIOS-Namen im Container Users enthalten sein. Der Benutzer hat dann alle nötigen Berechtigungen, um Instances mit dem Verzeichnis zu verbinden.