Delega dei privilegi di accesso alle directory per Managed AWS Microsoft AD - AWS Directory Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Delega dei privilegi di accesso alle directory per Managed AWS Microsoft AD

Per aggiungere un computer a AWS Managed Microsoft AD, è necessario un account con privilegi per aggiungere computer alla directory.

Con AWS Directory Service for Microsoft Active Directory, i membri dei gruppi Admins e AWS Delegated Server Administrators dispongono di questi privilegi.

Tuttavia, come best practice, dovresti utilizzare un account che disponga solo dei privilegi minimi necessari. La seguente procedura mostra come creare un nuovo gruppo denominato Joiners e delegare i privilegi necessari a questo gruppo per aggiungere i computer alla directory.

È necessario eseguire questa procedura su un computer aggiunto alla directory in cui è installato lo snap-in Utenti e computer di Active Directory. MMC Inoltre, è necessario aver eseguito l'accesso come amministratore del dominio.

Per delegare i privilegi di iscrizione per Managed AWS Microsoft AD

  1. Aprire Active Directory Utente e computer, quindi selezionare l'unità organizzativa (OU) con il BIOS nome di rete nell'albero di navigazione, quindi selezionare l'unità organizzativa Utenti.

    Importante

    Quando si avvia un AWS Directory Service per Microsoft Active Directory, AWS crea un'unità organizzativa (OU) che contiene tutti gli oggetti della directory. Questa unità organizzativa, con il BIOS nome di rete digitato al momento della creazione della directory, si trova nella radice del dominio. La radice del dominio è di proprietà e gestita da AWS. Non è possibile apportare modifiche alla radice del dominio stesso, pertanto è necessario creare il Joiners gruppo all'interno dell'unità organizzativa con il proprio BIOS nome di rete.

  2. Apri il menu contestuale (tasto destro del mouse) per Users (Utenti), scegli New (Nuovo), quindi Group (Gruppo).

  3. Nella finestra New Object - Group (Nuovo oggetto - Gruppo), digita quanto segue e scegli OK.

    • Per Group name (Nome gruppo), digita Joiners.

    • In Group scope (Ambito del gruppo), scegli Global (Globale).

    • Per Group type (Tipo gruppo), scegli Security (Sicurezza).

  4. Nell'albero di navigazione, seleziona il contenitore Computers sotto il tuo BIOS nome di rete. Nel menu Action (Operazione), scegli Delegate Control (Delega controllo).

  5. Nella pagina Delegation of Control Wizard (Delega guidata del controllo), scegli Next (Avanti), quindi scegli Add (Aggiungi).

  6. Nella finestra Select Users, Computers, or Groups (Seleziona utenti, computer o gruppi), digita Joiners e scegli OK. Se viene trovato più di un oggetto, selezionare il gruppo Joiners creato sopra. Scegli Next (Successivo).

  7. Nella pagina Operazioni da delegare, selezionare Crea un'operazione personalizzata per eseguire la delega, quindi scegliere Avanti.

  8. Seleziona Only the following objects in the folder (Solo i seguenti oggetti contenuti nella cartella), quindi Computer objects (Oggetti computer).

  9. Selezionare Crea gli oggetti selezionati in questa cartella e Elimina gli oggetti selezionati in questa cartella. Quindi scegli Successivo.

    Tipo di oggetto

  10. Seleziona Read (Lettura) e Write (Scrittura), quindi scegli Next (Avanti).

    Tipo di oggetto

  11. Verificare le informazioni nella pagina Completing the Delegation of Control Wizard (Completamento della delega guidata del controllo) e scegli Finish (Termina).

  12. Crea un utente con una password complessa e aggiungilo al gruppo Joiners. Questo utente deve trovarsi nel contenitore Users che si trova sotto il tuo BIOS nome Net. L'utente disporrà quindi privilegi sufficienti per connettere le istanze alla directory.