AWS Managed Microsoft AD のディレクトリ結合権限を委任する - AWS Directory Service

AWS Managed Microsoft AD のディレクトリ結合権限を委任する

コンピュータをディレクトリに結合するには、コンピュータをディレクトリに結合する権限を持つアカウントが必要です。

AWS Directory Service for Microsoft Active Directory では、管理者 グループと AWS が委任したサーバー管理者 グループのメンバーにはこれらの権限が付与されます。

ただし、ベストプラクティスとして、必要な最小限の権限のみを持つアカウントを使用してください。次の手順は、Joiners という新しいグループを作成し、コンピュータをディレクトリに結合するために必要な権限をこのグループに委任する方法を示しています。

この手順は、ディレクトリに結合され、[Active Directory User and Computers] (Active Directory ユーザーとコンピュータ) MMC スナップインがインストールされたコンピュータで実行する必要があります。また、ドメイン管理者としてログインする必要があります。

AWS Managed Microsoft AD の結合権限を委任するには

  1. [Active Directory User and Computers] (Active Directory ユーザーとコンピュータ) を開き、ナビゲーションツリーに NetBIOS 名が表示されている組織単位 (OU) を選択し、[Users] (ユーザー) OU を選択します。

    重要

    AWS Directory Service for Microsoft Active Directory を起動すると、AWS は、ディレクトリのオブジェクトをすべて含む組織単位 (OU) を作成します。この OU はドメインルートにあります。OU にはディレクトリを作成する際に入力した NetBIOS 名があります。ドメインルートは AWS が所有し、管理します。ドメインルート自体に変更を加えることはできません。したがって、NetBIOS 名がある OU 内に Joiners グループを作成する必要があります。

  2. [Users] (ユーザー) のコンテキスト (右クリック) メニューを開き、[New] (新規)、[Group] (グループ) の順に選択します。

  3. [New Object - Group] (新しいオブジェクト - グループ) ボックスで、次の内容を入力し、[OK] をクリックします。

    • [Group name] (グループ名) に「Joiners」と入力します。

    • [Group scope] (グループのスコープ) で、[Global] (グローバル) を選択します。

    • [Group type] (グループの種類) で、[Security] (セキュリティ) を選択します。

  4. ナビゲーションツリーで、NetBIOS 名の下の [Computers] (コンピュータ) コンテナを選択します。[Action] (アクション) メニューで、[Delegate Control] (制御の委任) を選択します。

  5. [Delegation of Control Wizard] (制御の委任ウィザード) ページで、[Next] (次へ)、[Add] (追加) の順にクリックします。

  6. [Select Users, Computers, or Groups] (ユーザー、コンピュータ、またはグループの選択) ボックスで「Joiners」と入力し、[OK] をクリックします。複数のオブジェクトがある場合は、上記で作成した Joiners グループを選択します。[Next] (次へ) をクリックします。

  7. [Tasks to Delegate] (委任するためのタスク) ページで、[Create a custom task to delegate] (委任するためのカスタムタスクを作成) を選択し、[Next] (次へ) をクリックします。

  8. [Only the following objects in the folder] (フォルダ内の次のオブジェクトのみ) を選択し、[Computer objects] (コンピュータオブジェクト) を選択します。

  9. [Create selected objects in this folder] (選択したオブジェクトをこのフォルダに作成) を選択し、[Delete selected objects in this folder] (このフォルダ内の選択したオブジェクトを削除) を選択します。続いて、[Next] (次へ) をクリックします。

    オブジェクトの種類

  10. [Read] (読み取り) と [Write] (書き込み) を選択し、[Next] (次へ) をクリックします。

    オブジェクトの種類

  11. [Completing the Delegation of Control Wizard] (制御の委任の完了ウィザード) ページで情報を確認し、[Finish] (完了) を選択します。

  12. 強力なパスワードでユーザーを作成し、そのユーザーを Joiners グループに追加します。このユーザーは、NetBIOS 名の下の [Users] (ユーザー) コンテナにある必要があります。このユーザーには、ディレクトリにインスタンスを接続するための十分な権限が与えられます。