アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与 - Amazon AppStream 2.0

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与

AppStream 2.0 が Active Directory コンピュータオブジェクトオペレーションを実行できるようにするには、十分なアクセス許可を持つアカウントが必要です。ベストプラクティスとして、必要最小限のアクセス許可のみを持つアカウントを使用します。最小限のアクティブディレクトリ組織単位 (OU) 許可は以下のとおりです。

  • コンピュータオブジェクトの作成

  • パスワードの変更

  • [Reset Password] (パスワードのリセット)

  • 説明の書き込み

アクセス許可をセットアップする前に、まず以下の操作を行う必要があります。

  • ドメインに参加しているコンピュータまたはEC2インスタンスへのアクセスを取得します。

  • Active Directory ユーザーとコンピュータのMMCスナップインをインストールします。詳細については、Microsoft ドキュメントの「Installing or Removing Remote Server Administration Tools for Windows 7」を参照してください。

  • 適切なアクセス権限を持つドメインユーザーとしてログインし、OU のセキュリティ設定を変更します。

  • アクセス権限を委任するユーザーアカウント、サービスアカウント、またはグループを作成または指定します。

最小限のアクセス権限をセットアップするには

  1. ドメインまたはドメインコントローラーで [Active Directory Users and Computers] (アクティブディレクトリユーザーとコンピュータ) を開きます。

  2. 左のナビゲーションペインで、ドメイン参加権限を提供する最初の OU を選択して、コンテキスト (右クリック) メニューを開き、[制御の委任] を選択します。

  3. [Delegation of Control Wizard] ページで、[Next]、[Add] の順に選択します。

  4. [ユーザー、コンピュータ、グループの選択] で、事前に作成したユーザーアカウント、サービスアカウント、またはグループを選択し、[OK] を選択します。

  5. [Tasks to Delegate] (委任するタスク) ページで、[Create a custom task to delegate] (委任するカスタムタスクの作成) を選択し、[Next (次へ) を選択します。

  6. [Only the following objects in the folder]、[Computer objects] を選択します。

  7. [Create selected objects in this folder]、[Next] を選択します。

  8. [Permissions] で、[Read]、[Write]、[Change Password]、[Reset Password]、[Next] の順に選択します。

  9. [Completing the Delegation of Control Wizard] ページで情報を確認し、[Finish] を選択します。

  10. これらのアクセス許可OUsを必要とする追加の場合は、ステップ 2~9 を繰り返します。

グループにアクセス権限を委任した場合は、強力なパスワードを持つユーザーアカウントまたはサービスアカウントを作成し、そのアカウントをグループに追加します。こうすることで、ディレクトリにストリーミングインスタンスを接続するための十分な権限がこのアカウントに与えられます。 AppStream 2.0 ディレクトリ設定を作成するときは、このアカウントを使用します。