为 Simple AD 委派目录加入权限 - AWS Directory Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Simple AD 委派目录加入权限

要将计算机加入到目录,需要有权将计算机加入到目录的账户。

对于 Simple AD,域管理员组的成员拥有足够权限将计算机加入到目录。

但是根据最佳实践,应使用只拥有所需的最小权限的账户。以下过程演示如何创建名为 Joiners 的新组,并向此组委派将计算机加入到目录所需的权限。

您必须在已加入您的目录并安装了 Act ive Directory 用户和计算机MMC管理单元的计算机上执行此过程。您还必须以域管理员身份登录。

要委托 Simple AD 的加入权限

  1. 打开 Active Directory User and Computers 并在导航树中选择您的域根。

  2. 在左侧的导航树中,打开 Users 的上下文菜单 (右键单击),选择 New,然后选择 Group

  3. New Object - Group 框中,键入以下内容,然后选择 OK

    • 对于 Group name (组名称),键入 Joiners

    • 对于 Group scope,选择 Global

    • 对于 Group type,选择 Security

  4. 在导航树中,选择您的域根。从 Action 菜单中选择 Delegate Control

  5. Delegation of Control Wizard 页面上,选择 Next,然后选择 Add

  6. Select Users, Computers, or Groups 框中,键入 Joiners,然后选择 OK。如果找到多个对象,请选择上面创建的 Joiners 组。选择下一步

  7. Tasks to Delegate 页面上,选择 Create a custom task to delegate,然后选择 Next

  8. 选择 Only the following objects in the folder,然后选择 Computer objects

  9. 选择 Create selected objects in this folder,然后选择 Delete selected objects in this folder。然后选择下一步

    委托控制向导 Active Directory 对象类型对话框中只有以下对象在文件夹中选定用户对象,在此文件夹中创建选定对象,然后删除此文件夹中的选定对象。

  10. 选择 ReadWrite,然后选择 Next

    “控制向导权限委派” 对话框,选择以下权限:常规、属性特定和读取。

  11. Completing the Delegation of Control Wizard 页面上验证信息,然后选择 Finish

  12. 使用强密码创建一个用户,并将该用户添加到 Joiners 组。然后,用户将有足够的权限 AWS Directory Service 连接到该目录。