Delega i privilegi di accesso alle directory per AWS Microsoft AD gestito - AWS Directory Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Delega i privilegi di accesso alle directory per AWS Microsoft AD gestito

Per unire un computer alla directory, devi disporre di un account con privilegi per aggiungere computer alla directory.

Con AWS Directory Service per Microsoft Active Directory, membri degli amministratori e AWS I gruppi Delegated Server Administrators dispongono di questi privilegi.

Tuttavia, come best practice, dovresti utilizzare un account che disponga solo dei privilegi minimi necessari. La seguente procedura mostra come creare un nuovo gruppo denominato Joiners e delegare i privilegi necessari a questo gruppo per aggiungere i computer alla directory.

È necessario eseguire questa procedura su un computer aggiunto alla directory in cui è installato lo snap-in Utenti e computer MMC di Active Directory. Inoltre, è necessario aver eseguito l'accesso come amministratore del dominio.

Per delegare i privilegi di accesso a AWS Microsoft AD gestito

  1. Apri Utenti e computer di Active Directory e seleziona l'unità organizzativa (OU) con il tuo BIOS nome di rete nell'albero di navigazione, quindi seleziona l'unità organizzativa Utenti.

    Importante

    Quando si avvia un AWS Directory Service per Microsoft Active Directory, AWS crea un'unità organizzativa (OU) che contiene tutti gli oggetti della directory. Questa unità organizzativa, con il BIOS nome di rete digitato durante la creazione della directory, si trova nella radice del dominio. La radice del dominio è di proprietà e gestita da AWS. Non è possibile apportare modifiche alla radice del dominio stesso, pertanto è necessario creare il Joiners gruppo all'interno dell'unità organizzativa con il proprio BIOS nome di rete.

  2. Apri il menu contestuale (tasto destro del mouse) per Users (Utenti), scegli New (Nuovo), quindi Group (Gruppo).

  3. Nella finestra New Object - Group (Nuovo oggetto - Gruppo), digita quanto segue e scegli OK.

    • Per Group name (Nome gruppo), digita Joiners.

    • In Group scope (Ambito del gruppo), scegli Global (Globale).

    • Per Group type (Tipo gruppo), scegli Security (Sicurezza).

  4. Nell'albero di navigazione, seleziona il contenitore Computers sotto il tuo BIOS nome di rete. Nel menu Action (Operazione), scegli Delegate Control (Delega controllo).

  5. Nella pagina Delegation of Control Wizard (Delega guidata del controllo), scegli Next (Avanti), quindi scegli Add (Aggiungi).

  6. Nella finestra Select Users, Computers, or Groups (Seleziona utenti, computer o gruppi), digita Joiners e scegli OK. Se viene trovato più di un oggetto, selezionare il gruppo Joiners creato sopra. Scegli Next (Successivo).

  7. Nella pagina Operazioni da delegare, selezionare Crea un'operazione personalizzata per eseguire la delega, quindi scegliere Avanti.

  8. Seleziona Only the following objects in the folder (Solo i seguenti oggetti contenuti nella cartella), quindi Computer objects (Oggetti computer).

  9. Selezionare Crea gli oggetti selezionati in questa cartella e Elimina gli oggetti selezionati in questa cartella. Quindi scegli Successivo.

    Tipo di oggetto

  10. Seleziona Read (Lettura) e Write (Scrittura), quindi scegli Next (Avanti).

    Tipo di oggetto

  11. Verificare le informazioni nella pagina Completing the Delegation of Control Wizard (Completamento della delega guidata del controllo) e scegli Finish (Termina).

  12. Crea un utente con una password complessa e aggiungilo al gruppo Joiners. Questo utente deve trovarsi nel contenitore Users che si trova sotto il tuo BIOS nome Net. L'utente disporrà quindi privilegi sufficienti per connettere le istanze alla directory.