本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为托 AWS 管 Microsoft AD 委派目录加入权限
要将计算机加入您的 AWS 托管 Microsoft AD,您需要一个有权将计算机加入该目录的帐户。
使用 Microsoft AWS Active Directory 的 Directory Service,管理员和AWS 委派服务器管理员组的成员拥有这些权限。
但是根据最佳实践,应使用只拥有所需的最小权限的账户。以下过程演示如何创建名为 Joiners 的新组,并向此组委派将计算机加入到目录所需的权限。
您必须在已加入您的目录并安装了 Act ive Directory 用户和计算机MMC管理单元的计算机上执行此过程。您还必须以域管理员身份登录。
为托 AWS 管 Microsoft AD 委派加入权限
-
打开 Active Directory 用户和计算机,然后在导航树中选择包含您的网络BIOS名称的组织单位 (OU),然后选择用户 OU。
重要
当你启动 Microsoft Active Directory 的 AWS 目录服务时, AWS 会创建一个包含所有目录对象的组织单位 (OU)。此 OU 位于域根目录中,它具有您在创建目录时键入的网络BIOS名称。域根由所有和管理 AWS。您无法对域根目录本身进行更改,因此,必须在 OU 中创建具有您的网络BIOS名称的
Joiners组。 -
打开 Users 的上下文 (右键单击) 菜单,然后依次选择 New 和 Group。
-
在 New Object - Group 框中,键入以下内容,然后选择 OK。
-
对于 Group name (组名称),键入
Joiners。 -
对于 Group scope,选择 Global。
-
对于 Group type,选择 Security。
-
-
在导航树中,选择您的网络BIOS名称下的 “计算机” 容器。从 Action 菜单中选择 Delegate Control。
-
在 Delegation of Control Wizard 页面上,选择 Next,然后选择 Add。
-
在 Select Users, Computers, or Groups 框中,键入
Joiners,然后选择 OK。如果找到多个对象,请选择上面创建的Joiners组。选择下一步。 -
在 Tasks to Delegate 页面上,选择 Create a custom task to delegate,然后选择 Next。
-
选择 Only the following objects in the folder,然后选择 Computer objects。
-
选择 Create selected objects in this folder,然后选择 Delete selected objects in this folder。然后选择下一步。
-
选择 Read 和 Write,然后选择 Next。
-
在 Completing the Delegation of Control Wizard 页面上验证信息,然后选择 Finish。
-
使用强密码创建一个用户,并将该用户添加到
Joiners组。此用户必须位于您的网络BIOS名称下的 “用户” 容器中。该用户随后拥有足够的权限将实例连接到目录。
