AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

为 AWS Managed Microsoft AD 委派目录加入权限

要将计算机加入到目录,需要有权将计算机加入到目录的账户。

对于 AWS Directory Service for Microsoft Active Directory AdminsAWS Delegated Server Administrators 组的成员拥有这些权限。

但是根据最佳实践,应使用只拥有所需的最小权限的账户。以下过程演示如何创建名为 Joiners 的新组,并向此组委派将计算机加入到目录所需的权限。

您必须在已加入到目录且已安装 Active Directory User and Computers MMC 管理单元的计算机上执行此过程。您还必须以域管理员身份登录。

为 AWS Managed Microsoft AD 委派加入权限

  1. 打开 Active Directory User and Computers,在导航树中选择具有您的 NetBIOS 名称的组织单位 (OU),然后选择 Users OU。

    重要

    当您启动 AWS Directory Service for Microsoft Active Directory 时,AWS 将创建一个包含您的所有目录对象的组织单位 (OU)。此 OU (具有您在创建目录时键入的 NetBIOS 名称) 位于域根目录中。此域根目录由 AWS 拥有和管理。无法对域根本身进行更改,因此必须在具有您的 NetBIOS 名称的 OU 中创建 Joiners 组。

  2. 打开 Users 的上下文 (右键单击) 菜单,然后依次选择 NewGroup

  3. New Object - Group 框中,键入以下内容,然后选择 OK

    • 对于 Group name (组名称),键入 Joiners

    • 对于 Group scope,选择 Global

    • 对于 Group type,选择 Security

  4. 在导航树中,选择您的 NetBIOS 名称下的 Computers 容器。从 Action 菜单中选择 Delegate Control

  5. Delegation of Control Wizard 页面上,选择 Next,然后选择 Add

  6. Select Users, Computers, or Groups 框中,键入 Joiners,然后选择 OK。如果找到多个对象,请选择上面创建的 Joiners 组。选择 Next

  7. Tasks to Delegate 页面上,选择 Create a custom task to delegate,然后选择 Next

  8. 选择 Only the following objects in the folder,然后选择 Computer objects

  9. 选择 Create selected objects in this folder,然后选择 Delete selected objects in this folder。然后选择 Next

    
              对象类型
  10. 选择 ReadWrite,然后选择 Next

    
              对象类型
  11. Completing the Delegation of Control Wizard 页面上验证信息,然后选择 Finish

  12. 使用强密码创建一个用户,并将该用户添加到 Joiners 组。此用户必须位于您的 NetBIOS 名称下的 Users 容器中。该用户随后拥有足够的权限将实例连接到目录。