本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授予创建和管理 Active Directory 计算机对象的权限
要允许 WorkSpaces 应用程序执行 Active Directory 计算机对象操作,您需要一个具有足够权限的帐户。最佳实践是使用仅具有所需最低权限的账户。最低的 Active Directory 组织单位 (OU) 权限如下所示:
-
创建计算机对象
-
更改密码
-
重置密码
-
编写描述
在设置权限之前,需要先完成以下任务:
-
获取对已加入您域的计算机或 EC2 实例的访问权限。
-
安装 Active Directory 用户和计算机 MMC 管理单元。有关更多信息,请参阅 Microsoft 文档中的安装或删除适用于 Windows 7 的远程服务器管理工具
。 -
以拥有适当权限的域用户身份登录并修改 OU 安全设置。
-
创建或标识要向其委派权限的用户、服务账户或组。
设置最低权限
-
在域中或域控制器上打开 Active Directory Users and Computers (Active Directory 用户和计算机)。
-
在左侧导航窗格中,选择要在其中提供域加入权限的第一个 OU,打开上下文 (右键单击) 菜单,然后选择 Delegate Control (委派控制)。
-
在控制委派向导页面上,依次选择下一步和添加。
-
对于选择用户、计算机或组,选择先前创建的用户、服务账户或组,然后选择确定。
-
在要委派的任务页面上,选择创建要委派的自定义任务,然后选择下一步。
-
依次选择只是在这个文件夹中的下列对象和计算机对象。
-
依次选择在这个文件夹中创建所选对象和下一步。
-
对于权限,选择读取、写入、更改密码、重置密码,然后选择下一步。
-
在完成控制委派向导页面上,验证信息并选择完成。
-
对于其他需要这些权限的用户 OUs ,请重复步骤 2-9。
如果您将权限委派给组,则创建具有强密码的用户或服务账户,并将该账户添加到组中。这样该账户将拥有足够的权限将流实例连接到目录。创建 WorkSpaces 应用程序目录配置时使用此帐户。
