本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
向 Amazon FSx 服务账户或群组委派权限
亚马逊 FSx 服务账户或管理员组必须具有必要的权限,才能将 Windows 文件服务器文件系统加入 FSx 您的自我管理的 Active Directory 域。要委派这些权限,您可以使用 “委托控制” 或 “高级功能” 中的 “高级功能” Active Directory User and Computers MMC 管理单元,如以下过程所述。
使用委派控件为服务账号或群组分配权限
以 Active Directory 域的域管理员身份登录系统。
打开 Active Directory User and Computers MMC 管理单元。
在任务窗格中,展开域节点。
找到并打开您要修改的 OU 的上下文(右键单击)菜单,然后选择委派控制。
在控制委派向导页面上,选择下一步。
选择 “添加” 以添加您的亚马逊 FSx 服务账户或群组的名称,然后选择 “下一步”。
在 Tasks to Delegate (要委派的任务) 页面上,选择 Create a custom task to delegate (创建要委派的自定义任务),然后选择 Next (下一步)。
选择仅文件夹中的以下对象,然后选择计算机对象。
选择在此文件夹中创建选定对象和删除此文件夹中的选定对象。然后选择下一步。
在权限中,请选择以下选项:
-
重置密码
-
读取和写入账户限制
-
已验证写入 DNS 主机名
-
已验证写入服务主体名称
-
选择下一步,然后选择完成。
关闭 Active Directory User and Computers MMC 管理单元。
以 Active Directory 域的域管理员身份登录系统。
打开 Active Directory User and Computers MMC 管理单元。
-
从菜单栏中选择查看,并确保已启用高级功能(如果启用了该功能,则旁边会显示一个对勾标记)。
在任务窗格中,展开域节点。
-
找到并打开您要修改的 OU 的上下文菜单(右键单击),然后选择属性。
-
在 OU 属性窗格中,选择安全选项卡。
-
在安全选项卡上,选择高级。然后选择添加。
-
在 “权限输入” 页面上,选择 “选择委托人”,然后输入您的亚马逊 FSx 服务账户或群组的名称。对于 “应用于:”,选择 “此对象” 和 “所有后代计算机”。请确保选择了以下权限:
修改权限
创建计算机对象
删除计算机对象
-
选择应用,然后选择确定。
关闭 Active Directory User and Computers MMC 管理单元。
