本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 授予创建和管理 Active Directory 计算机对象的权限 要允许 WorkSpaces 应用程序执行 Active Directory 计算机对象操作,您需要一个具有足够权限的帐户。最佳实践是使用仅具有所需最低权限的账户。最低的 Active Directory 组织单位 (OU) 权限如下所示: + 创建计算机对象 + 更改密码 + 重置密码 + 编写描述 在设置权限之前,需要先完成以下任务: + 获取对已加入域的计算机或 EC2 实例的访问权限。 + 安装 Active Directory 用户和计算机 MMC 管理单元。有关更多信息,请参阅 Microsoft 文档中的[安装或删除适用于 Windows 7 的远程服务器管理工具](https://technet.microsoft.com/en-us/library/ee449483.aspx)。 + 以拥有适当权限的域用户身份登录并修改 OU 安全设置。 + 创建或标识要向其委派权限的用户、服务账户或组。 **设置最低权限** 1. 在域中或域控制器上打开 **Active Directory Users and Computers** (Active Directory 用户和计算机)。 1. 在左侧导航窗格中,选择要在其中提供域加入权限的第一个 OU,打开上下文 (右键单击) 菜单,然后选择 **Delegate Control** (委派控制)。 1. 在**控制委派向导**页面上,依次选择**下一步**和**添加**。 1. 对于**选择用户、计算机或组**,选择先前创建的用户、服务账户或组,然后选择**确定**。 1. 在**要委派的任务**页面上,选择**创建要委派的自定义任务**,然后选择**下一步**。 1. 依次选择**只是在这个文件夹中的下列对象**和**计算机对象**。 1. 依次选择**在这个文件夹中创建所选对象**和**下一步**。 1. 对于**权限**,选择**读取**、**写入**、**更改密码**、**重置密码**,然后选择**下一步**。 1. 在**完成控制委派向导**页面上,验证信息并选择**完成**。 1. 对于其他需要这些权限的用户 OUs ,请重复步骤 2-9。 如果您将权限委派给组,则创建具有强密码的用户或服务账户,并将该账户添加到组中。这样该账户将拥有足够的权限将流实例连接到目录。创建 WorkSpaces 应用程序目录配置时使用此帐户。