本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 授予許可來建立及管理 Active Directory 電腦物件 若要允許 WorkSpaces 應用程式執行 Active Directory 電腦物件操作,您需要具有足夠許可的帳戶。做為最佳實務,建議您使用僅具備所需最低權限的帳戶。最低的 Active Directory 組織單位 (OU) 許可如下所示: + 建立電腦物件 + 變更密碼 + 重設密碼 + 撰寫描述 在設定許可前,您需要先執行以下作業: + 取得已加入您網域的電腦或 EC2 執行個體存取。 + 安裝 Active Directory 使用者及電腦 MMC 嵌入式管理單元。如需詳細資訊,請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。 + 以具備適當許可,能夠修改 OU 安全設定的網域使用者登入。 + 建立或識別要委派許可的使用者、服務帳戶或群組。 **設定最低許可** 1. 在您的網域或網域控制站上開啟 **Active Directory Users and Computers (Active Directory 使用者及電腦)**。 1. 在左側導覽窗格中,選取要在其上提供網域加入權限的第一個 OU,開啟內容 (以滑鼠右鍵按一下) 選單,然後選擇 **Delegate Control (委派控制)**。 1. 在 **Delegation of Control Wizard (委派控制精靈)** 頁面上,選擇 **Next (下一步)**、**Add (新增)**。 1. 針對**選取使用者、電腦或群組**,選取預先建立的使用者、服務帳戶或群組,然後選擇**確定**。 1. 在 **Tasks to Delegate (要委派的任務)** 頁面上,選擇 **Create a custom task to delegate (建立要委派的自訂任務)**,然後選擇 **Next (下一步)**。 1. 選擇 **Only the following objects in the folder (僅限資料夾中的下列物件)**、**Computer objects (電腦物件)**。 1. 選擇 **Create selected objects in this folder (在此資料夾中建立選取的物件)**、**Next (下一步)**。 1. 針對 **Permissions (許可)**,選擇 **Read (讀取)**、**Write (寫入)**、**Change Password (變更密碼)**、**Reset Password (重設密碼)**、**Next (下一步)**。 1. 在 **Completing the Delegation of Control Wizard (完成委派控制精靈)** 頁面上,驗證資訊並選擇 **Finish (完成)**。 1. 針對任何其他需要這些許可的 OU 重複步驟 2 到 9。 若您將許可委派給群組,請使用強式密碼建立使用者或服務帳戶,並將該帳戶新增到該群組。此帳戶便會有足夠的權限,將您的串流執行個體連線到目錄。建立 WorkSpaces 應用程式目錄組態時,請使用此帳戶。