AWS Managed Microsoft AD에 대한 디렉터리 조인 권한 위임
컴퓨터를 디렉터리에 조인하려면 해당 권한을 가진 계정이 필요합니다.
AWS Directory Service for Microsoft Active Directory에서는 관리자 및 AWS 위임 서버 관리자 그룹의 멤버가 이러한 권한을 가집니다.
그러나 가장 좋은 방법은 필요한 최소 권한만을 가진 계정을 사용하는 것입니다. 다음 절차에서는 Joiners라는 새 그룹을 생성하고 이 그룹에 컴퓨터를 디렉터리에 조인하는 데 필요한 권한을 위임하는 방법을 보여줍니다.
이 절차는 디렉터리에 조인되고 Active Directory User and Computers MMC 스냅인이 설치된 컴퓨터상에서 수행해야 합니다. 또한 도메인 관리자로 로그인해야 합니다.
AWS Managed Microsoft AD에 대한 조인 권한을 위임하려면
-
[Active Directory User and Computers] 페이지를 열고 탐색 트리에서 입력한 NetBIOS 이름을 가진 OU(조직 단위)를 선택한 다음, [Users] OU를 선택합니다.
중요
AWS Directory Service for Microsoft Active Directory를 시작하면 AWS에서 모든 디렉터리의 객체를 포함하는 OU(조직 단위)를 생성합니다. 디렉터리를 만들 때 입력한 NetBIOS 이름을 가진 이 OU는 도메인 루트에 있습니다. 도메인 루트는 AWS에서 소유하고 관리합니다. 도메인 루트 자체는 변경이 불가능하기 때문에 입력한 NetBIOS 이름을 가진 OU 내에
Joiners그룹을 생성해야 합니다. -
[Users]에 대한 컨텍스트 메뉴를 열고(마우스 오른쪽 버튼 클릭), [New]를 선택한 다음, [Group]을 선택합니다.
-
[New Object - Group] 상자에서 다음을 입력하고 [OK]를 선택합니다.
-
그룹 이름에
Joiners를 입력합니다. -
[Group scope]에서 [Global]을 선택합니다.
-
[Group type]에서 [Security]를 선택합니다.
-
-
탐색 창에서 입력한 NetBIOS 이름 아래에 있는 [Computers] 컨테이너를 선택합니다. [Action] 메뉴에서 [Delegate Control]을 선택합니다.
-
[Delegation of Control Wizard] 페이지에서 Next를 선택한 후 [Add]를 선택합니다.
-
[Select Users, Computers, or Groups] 상자에
Joiners를 입력하고 [OK]를 선택합니다. 객체가 여러 개 있는 경우 위에서 생성한Joiners그룹을 선택합니다. 다음(Next)을 선택합니다. -
[Tasks to Delegate] 페이지에서 [Create a custom task to delegate]를 선택한 후 [Next]를 선택합니다.
-
[Only the following objects in the folder]를 선택한 후 [Computer objects]를 선택합니다.
-
[Create selected objects in this folder]를 선택한 후 [Delete selected objects in this folder]를 선택합니다. 이후 다음을 선택합니다.
-
[Read] 및 [Write]를 선택한 후 [Next]를 선택합니다.
-
[Completing the Delegation of Control Wizard] 페이지에서 정보를 확인하고 [Finish]를 선택합니다.
-
강력한 암호를 사용하여 사용자를 생성하고 해당 사용자를
Joiners그룹에 추가합니다. 이 사용자는 입력한 NetBIOS 이름 아래에 있는 [Users] 컨테이너에 있어야 합니다. 이 사용자는 인스턴스를 디렉터리에 연결할 수 있는 충분한 권한을 가집니다.
