

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Managed Microsoft AD のディレクトリ結合権限の委任
<a name="directory_join_privileges"></a>

コンピュータを AWS Managed Microsoft AD に結合するには、コンピュータを ディレクトリに結合する権限を持つアカウントが必要です。

 AWS Directory Service for Microsoft Active Directory では、**管理者**グループと**AWS 委任サーバー管理者**グループのメンバーにこれらの権限があります。

ただし、ベストプラクティスとして、必要な最小限の権限のみを持つアカウントを使用してください。次の手順は、`Joiners` という新しいグループを作成し、コンピュータをディレクトリに結合するために必要な権限をこのグループに委任する方法を示しています。

この手順は、ディレクトリに結合され、**[Active Directory User and Computers]** (Active Directory ユーザーとコンピュータ) MMC スナップインがインストールされたコンピュータで実行する必要があります。また、ドメイン管理者としてログインする必要があります。

**AWS Managed Microsoft AD の参加権限を委任するには**

1. **[Active Directory User and Computers]** (Active Directory ユーザーとコンピュータ) を開き、ナビゲーションツリーに NetBIOS 名が表示されている組織単位 (OU) を選択し、**[Users]** (ユーザー) OU を選択します。
**重要**  
 AWS Directory Service for Microsoft Active Directory を起動すると、 はディレクトリのすべてのオブジェクトを含む組織単位 (OU) AWS を作成します。この OU はドメインルートにあります。OU にはディレクトリを作成する際に入力した NetBIOS 名があります。ドメインルートは によって所有および管理されます AWS。ドメインルート自体に変更を加えることはできません。したがって、NetBIOS 名がある OU 内に **Joiners** グループを作成する必要があります。

1. **[Users]** (ユーザー) のコンテキスト (右クリック) メニューを開き、**[New]** (新規)、**[Group]** (グループ) の順に選択します。

1. **[New Object - Group]** (新しいオブジェクト - グループ) ボックスで、次の内容を入力し、**[OK]** をクリックします。
   + **[Group name]** (グループ名) に「**Joiners**」と入力します。
   + **[Group scope]** (グループのスコープ) で、**[Global]** (グローバル) を選択します。
   + **[Group type]** (グループの種類) で、**[Security]** (セキュリティ) を選択します。

1. ナビゲーションツリーで、NetBIOS 名の下の **[Computers]** (コンピュータ) コンテナを選択します。**[Action]** (アクション) メニューで、**[Delegate Control]** (制御の委任) を選択します。

1. **[Delegation of Control Wizard]** (制御の委任ウィザード) ページで、**[Next]** (次へ)、**[Add]** (追加) の順に選択します。

1. **[Select Users, Computers, or Groups]** (ユーザー、コンピュータ、またはグループの選択) ボックスで「`Joiners`」と入力し、**[OK]** をクリックします。複数のオブジェクトがある場合は、上記で作成した `Joiners` グループを選択します。**[Next]** (次へ) をクリックします。

1. **[Tasks to Delegate]** (委任するためのタスク) ページで、**[Create a custom task to delegate]** (委任するためのカスタムタスクを作成) を選択し、**[Next]** (次へ) をクリックします。

1. **[Only the following objects in the folder]** (フォルダ内の次のオブジェクトのみ) を選択し、**[Computer objects]** (コンピュータオブジェクト) を選択します。

1. **[Create selected objects in this folder]** (選択したオブジェクトをこのフォルダに作成) を選択し、**[Delete selected objects in this folder]** (このフォルダ内の選択したオブジェクトを削除) を選択します。続いて、**[Next]** (次へ) をクリックします。  
![オブジェクトの種類](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/aduc_directory_join_linux.png)

1. **[Read]** (読み取り) と **[Write]** (書き込み) を選択し、**[Next]** (次へ) をクリックします。  
![オブジェクトの種類](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/aduc_directory_join_permissions.png)

1. **[Completing the Delegation of Control Wizard]** (制御の委任の完了ウィザード) ページで情報を確認し、**[Finish]** (完了) を選択します。

1. 強力なパスワードでユーザーを作成し、そのユーザーを `Joiners` グループに追加します。このユーザーは、NetBIOS 名の下の **[Users]** (ユーザー) コンテナにある必要があります。このユーザーには、ディレクトリにインスタンスを接続するために十分な権限が与えられます。