本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 为托 AWS 管 Microsoft AD 委派目录加入权限 要将计算机加入您的 AWS 托管 Microsoft AD,您需要一个有权将计算机加入该目录的帐户。 使用 Microsoft AWS Active Directory 的 Directory **Service,管理员**和**AWS 委派服务器管理员**组的成员拥有这些权限。 但是根据最佳实践,应使用只拥有所需的最小权限的账户。以下过程演示如何创建名为 `Joiners` 的新组,并向此组委派将计算机加入到目录所需的权限。 您必须在已加入到目录且已安装 **Active Directory 用户和计算机** MMC 管理单元的计算机上执行此过程。您还必须以域管理员身份登录。 **为托 AWS 管 Microsoft AD 委派加入权限** 1. 打开 **Active Directory User and Computers**,在导航树中选择具有您的 NetBIOS 名称的组织单位 (OU),然后选择 **Users** OU。 **重要** 当你启动 Microsoft Active Directory 的 AWS 目录服务时, AWS 会创建一个包含所有目录对象的组织单位 (OU)。此 OU (具有您在创建目录时键入的 NetBIOS 名称) 位于域根目录中。域根由所有和管理 AWS。无法对域根本身进行更改,因此必须在具有您的 NetBIOS 名称的 OU 中创建 **Joiners** 组。 1. 打开 **Users** 的上下文 (右键单击) 菜单,然后依次选择 **New** 和 **Group**。 1. 在 **New Object - Group** 框中,键入以下内容,然后选择 **OK**。 + 对于 **Group name (组名称)**,键入 **Joiners**。 + 对于 **Group scope**,选择 **Global**。 + 对于 **Group type**,选择 **Security**。 1. 在导航树中,选择您的 NetBIOS 名称下的 **Computers** 容器。从 **Action** 菜单中选择 **Delegate Control**。 1. 在 **Delegation of Control Wizard** 页面上,选择 **Next**,然后选择 **Add**。 1. 在 **Select Users, Computers, or Groups** 框中,键入 `Joiners`,然后选择 **OK**。如果找到多个对象,请选择上面创建的 `Joiners` 组。选择**下一步**。 1. 在 **Tasks to Delegate** 页面上,选择 **Create a custom task to delegate**,然后选择 **Next**。 1. 选择 **Only the following objects in the folder**,然后选择 **Computer objects**。 1. 选择 **Create selected objects in this folder**,然后选择 **Delete selected objects in this folder**。然后选择**下一步**。 ![\[对象类型\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/aduc_directory_join_linux.png) 1. 选择 **Read** 和 **Write**,然后选择 **Next**。 ![\[对象类型\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/aduc_directory_join_permissions.png) 1. 在 **Completing the Delegation of Control Wizard** 页面上验证信息,然后选择 **Finish**。 1. 使用强密码创建一个用户,并将该用户添加到 `Joiners` 组。此用户必须位于您的 NetBIOS 名称下的 **Users** 容器中。该用户随后拥有足够的权限将实例连接到目录。