Délégation des privilèges de connexion à un annuaire pour AWS Managed Microsoft AD - AWS Directory Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Délégation des privilèges de connexion à un annuaire pour AWS Managed Microsoft AD

Pour associer un ordinateur à votre compte Microsoft AD AWS géré, vous devez disposer d'un compte doté des privilèges nécessaires pour associer des ordinateurs à l'annuaire.

Avec AWS Directory Service for Microsoft Active Directory, les membres des groupes Admins et AWS Delegated Server Administrators disposent de ces privilèges.

Cependant, en tant que bonne pratique, vous devez utiliser un compte disposant uniquement des privilèges minimum nécessaires. La procédure suivante montre comment créer un nouveau groupe appelé Joiners et déléguer les privilèges à ce groupe qui sont nécessaires pour joindre des ordinateurs à l'annuaire.

Vous devez exécuter cette procédure sur un ordinateur joint à votre annuaire et sur lequel le MMC composant logiciel enfichable Utilisateurs et ordinateurs Active Directory est installé. Vous devez également être connecté en tant qu'administrateur de domaine.

Pour déléguer les privilèges d'adhésion pour AWS Managed Microsoft AD

  1. Ouvrez .Active Directory Utilisateur et ordinateurs et sélectionnez l'unité organisationnelle (UO) qui porte votre BIOS nom réseau dans l'arborescence de navigation, puis sélectionnez l'unité d'organisation Utilisateurs.

    Important

    Lorsque vous lancez un service d' AWS annuaire pour Microsoft Active Directory, il AWS crée une unité organisationnelle (UO) qui contient tous les objets de votre annuaire. Cette unité d'organisation, qui porte le BIOS nom réseau que vous avez saisi lors de la création de votre répertoire, se trouve dans la racine du domaine. La racine du domaine est détenue et gérée par AWS. Vous ne pouvez pas modifier la racine du domaine elle-même. Par conséquent, vous devez créer le Joiners groupe au sein de l'unité d'organisation qui porte votre BIOS nom réseau.

  2. Ouvrez le menu contextuel (clic droit) pour Utilisateurs, choisissez Nouveau, puis choisissez Groupe.

  3. Dans la zone Nouvel objet - groupe, saisissez ce qui suit et choisissez OK.

    • Pour Nom du groupe, tapez Joiners.

    • Pour Étendue du groupe, choisissez Global.

    • Pour Type de groupe, choisissez Sécurité.

  4. Dans l'arborescence de navigation, sélectionnez le conteneur Ordinateurs sous le BIOS nom de votre réseau. A partir du menu Action, choisissez Déléguer le contrôle.

  5. Sur la page Delegation of Control Wizard, choisissez Next, puis choisissez Add.

  6. Dans la zone Select Users, Computers, or Groups, saisissez Joiners, puis choisissez OK. Si vous trouvez plusieurs objets, sélectionnez le groupe Joiners créé précédemment. Choisissez Suivant.

  7. Sur la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer, puis choisissez Suivant.

  8. Sélectionnez Only the following objects in the folder, puis Computer objects.

  9. Sélectionnez Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier. Ensuite, sélectionnez Suivant.

    Type d'objet

  10. Sélectionnez Lecture et Ecriture, puis choisissez Suivant.

    Type d'objet

  11. Vérifiez les informations de la page Fin de l'Assistant Délégation de contrôle, puis choisissez Terminer.

  12. Créez un utilisateur avec un mot de passe fort et ajoutez-le au groupe Joiners. Cet utilisateur doit se trouver dans le conteneur Utilisateurs qui se trouve sous votre BIOS nom réseau. L'utilisateur aura alors les privilèges nécessaires pour connecter les instances à l'annuaire.