Délégation des privilèges de jonction d'annuaire pour AWS Managed Microsoft AD - AWS Directory Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Délégation des privilèges de jonction d'annuaire pour AWS Managed Microsoft AD

Pour joindre un ordinateur à votre annuaire, vous devez disposer d'un compte doté des privilèges de jonction des ordinateurs à l'annuaire.

Avec AWS Directory Service for Microsoft Active Directory, les membres des groupes Admins et AWS Delegated Server Administrators disposent de ces privilèges.

Cependant, en tant que bonne pratique, vous devez utiliser un compte disposant uniquement des privilèges minimum nécessaires. La procédure suivante montre comment créer un nouveau groupe appelé Joiners et déléguer les privilèges à ce groupe qui sont nécessaires pour joindre des ordinateurs à l'annuaire.

Vous devez effectuer cette procédure sur un ordinateur qui est joint à votre annuaire et qui dispose du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Vous devez également être connecté en tant qu'administrateur de domaine.

Pour déléguer les privilèges d'adhésion pour AWS Managed Microsoft AD

  1. Ouvrez Utilisateurs et ordinateurs Active Directory et sélectionnez l'unité d'organisation ayant votre nom NetBIOS dans l'arborescence de navigation, puis sélectionnez l'unité d'organisation Utilisateurs.

    Important

    Lorsque vous lancez un service d' AWS annuaire pour Microsoft Active Directory, il AWS crée une unité organisationnelle (UO) qui contient tous les objets de votre annuaire. Cette unité d'organisation, qui porte le nom NetBIOS que vous avez saisi lorsque vous avez créé votre annuaire, est située dans la racine du domaine. La racine du domaine est détenue et gérée par AWS. Vous ne pouvez pas apporter des modifications à la racine du domaine lui-même, par conséquent, vous devez créer le groupe Joiners au sein de l'unité d'organisation qui détient votre nom NetBIOS.

  2. Ouvrez le menu contextuel (clic droit) pour Utilisateurs, choisissez Nouveau, puis choisissez Groupe.

  3. Dans la zone Nouvel objet - groupe, saisissez ce qui suit et choisissez OK.

    • Pour Nom du groupe, tapez Joiners.

    • Pour Étendue du groupe, choisissez Global.

    • Pour Type de groupe, choisissez Sécurité.

  4. Dans l'arborescence de navigation, sélectionnez le conteneur Ordinateurs sous votre nom NetBIOS. A partir du menu Action, choisissez Déléguer le contrôle.

  5. Sur la page Delegation of Control Wizard, choisissez Next, puis choisissez Add.

  6. Dans la zone Select Users, Computers, or Groups, saisissez Joiners, puis choisissez OK. Si vous trouvez plusieurs objets, sélectionnez le groupe Joiners créé précédemment. Choisissez Suivant.

  7. Sur la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer, puis choisissez Suivant.

  8. Sélectionnez Only the following objects in the folder, puis Computer objects.

  9. Sélectionnez Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier. Ensuite, sélectionnez Suivant.

    Type d'objet

  10. Sélectionnez Lecture et Ecriture, puis choisissez Suivant.

    Type d'objet

  11. Vérifiez les informations de la page Fin de l'Assistant Délégation de contrôle, puis choisissez Terminer.

  12. Créez un utilisateur avec un mot de passe fort et ajoutez-le au groupe Joiners. Cet utilisateur doit figurer dans le conteneur Utilisateurs qui est sous votre nom NetBIOS. L'utilisateur aura alors les privilèges nécessaires pour connecter les instances à l'annuaire.