Concesión de permisos para crear y administrar objetos de equipo de Active Directory - Amazon AppStream 2.0

Concesión de permisos para crear y administrar objetos de equipo de Active Directory

Si desea permitir que AppStream 2.0 ejecute operaciones con objetos de equipo de Active Directory, debe tener una cuenta con permisos suficientes. Como práctica recomendada, use una cuenta que tenga solo los privilegios mínimos necesarios. Los permisos mínimos de la unidad organizativa (OU) de Active Directory son los siguientes:

  • Crear objeto equipo

  • Cambio de contraseña

  • Restablecer contraseña

  • Escribir descripción

Antes de configurar los permisos, primero tendrá que hacer lo siguiente:

  • Obtener acceso a una instancia EC2 o un equipo que esté unido al dominio.

  • Instalar el complemento MMC Usuarios y equipos de Active Directory. Para obtener más información, consulte Installing or Removing Remote Server Administration Tools for Windows 7 en la documentación de Microsoft.

  • Inicie sesión como usuario de dominio con los permisos adecuados para modificar la configuración de seguridad de la OU.

  • Cree o identifique al usuario, la cuenta de servicio o el grupo al que se delegarán permisos.

Para configurar permisos mínimos

  1. Abra Active Directory Users and Computers (Usuarios y equipos de Active Directory) en el dominio o en el controlador de dominio.

  2. En el panel de navegación de la izquierda, seleccione la primera OU para la que se proporcionarán privilegios de unión al dominio, abra el menú contextual (haga clic con el botón derecho) y, a continuación, elija Delegate Control (Delegar control).

  3. En la página Delegation of Control Wizard, elija Next, Add.

  4. En Seleccionar usuarios, equipos o grupos, seleccione el usuario, la cuenta de servicio o el grupo previamente creados y, a continuación, elija Aceptar.

  5. En la página Tareas que se delegarán, elija Crear una tarea personalizada para delegar y luego elija Siguiente.

  6. Elija Only the following objects in the folder, Computer objects.

  7. Elija Create selected objects in this folder, Next.

  8. En Permissions, elija Read, Write, Change Password, Reset Password, Next.

  9. En la página Completing the Delegation of Control Wizard, verifique la información y elija Finish.

  10. Repita los pasos 2-9 para todas las OU adicionales que requieran estos permisos.

Si ha delegado permisos en un grupo, cree una cuenta de usuario o de servicio con una contraseña segura y añada dicha cuenta al grupo. Esta cuenta tendrá privilegios suficientes para conectar sus instancias en streaming al directorio. Utilice esta cuenta cuando cree la configuración de directorio de AppStream 2.0.