本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
委派 AWS Managed Microsoft AD 的目錄聯結權限
若要將電腦加入 AWS Managed Microsoft AD,您需要具有將電腦加入目錄權限的帳戶。
使用適用於 Microsoft Active Directory 的 AWS Directory Service,管理員和AWS 委派伺服器管理員群組的成員具有這些權限。
不過,最佳實務是您應該使用只有所需最低權限的帳戶。下列程序示範如何建立稱為 Joiners 的新群組,並將權限委派給需要將電腦加入目錄的這個群組。
您必須在已加入您的目錄,並已安裝 Active Directory User and Computers (Active Directory 使用者和電腦) MMC 嵌入的電腦上執行此程序。您也必須以網域管理員的身分登入。
委派 AWS Managed Microsoft AD 的加入權限
-
開啟Active Directory使用者和電腦,然後選取導覽樹狀目錄中具有您 NetBIOS 名稱的組織單位 (OU),然後選取使用者 OU。
重要
當您啟動 AWS Directory Service for Microsoft Active Directory 時, 會 AWS 建立組織單位 (OU),其中包含您目錄的所有物件。此 OU 有您在建立目錄時所輸入的 NetBIOS 名稱,位於根網域中。網域根由 擁有和管理 AWS。您不能變更根網域本身;因此,您必須在具有您 NetBIOS 名稱的 OU 內建立
Joiners群組。 -
開啟 Users (使用者) 的內容選單 (按一下右鍵) 選單,選擇 New (新增),然後選擇 Group (群組)。
-
在 New Object - Group (新增物件 - 群組) 對話方塊中輸入如下內容,並選擇 OK (確定)。
-
在 Group Name (群組名稱) 中,輸入
Joiners。 -
針對 Group scope (群組範圍) 選擇 Global (全域)。
-
針對 Group type (群組類型),選擇 Security (安全性)。
-
-
在導覽樹狀目錄中,選取您 NetBIOS 名稱下的 Computers (電腦) 容器。從 Action (動作) 選單,選擇 Delegate Control (委派控制)。
-
在 Delegation of Control Wizard (委派控制精靈) 頁面,選擇 Next (下一步),然後選擇 Add (新增)。
-
在 Select Users, Computers, or Groups (選取使用者、電腦或群組) 對話方塊中輸入
Joiners,並選擇 OK (確定)。如果找到多個物件,請選取在上述步驟中建立的Joiners群組。選擇 Next (下一步)。 -
在 Tasks to Delegate (要委派的任務) 頁面上,選取 Create a custom task to delegate (建立要委派的自訂任務),然後選擇 Next (下一步)。
-
選取 Only the following objects in the folder (僅限資料夾中的下列物件),然後選取 Computer objects (電腦物件)。
-
選取 Create selected objects in this folder (在此資料夾中建立選取的物件) 和 Delete selected objects in this folder (在此資料夾中刪除選取的物件)。然後選擇下一步。
-
選取 Read (讀取) 和 Write (寫入),然後選擇 Next (下一步)。
-
驗證 Completing the Delegation of Control Wizard (完成委派控制精靈) 頁面中的資訊,然後選擇 Finish (完成)。
-
建立使用高強度密碼的使用者,並將此使用者新增至
Joiners群組。這個使用者必須位在您 NetBIOS 名稱下的 Users (使用者) 容器中。然後,使用者就會有足夠的權限將執行個體連線到目錄。
