本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 委派 AWS Managed Microsoft AD 的目錄聯結權限 若要將電腦加入 AWS Managed Microsoft AD,您需要具有將電腦加入目錄權限的帳戶。 使用 AWS Directory Service for Microsoft Active Directory,**管理員**和**AWS 委派伺服器管理員**群組的成員具有這些權限。 不過,最佳實務是您應該使用只有所需最低權限的帳戶。下列程序示範如何建立稱為 `Joiners` 的新群組,並將權限委派給需要將電腦加入目錄的這個群組。 您必須在已加入您的目錄,並已安裝 **Active Directory User and Computers** (Active Directory 使用者和電腦) MMC 嵌入的電腦上執行此程序。您也必須以網域管理員的身分登入。 **委派 AWS Managed Microsoft AD 的加入權限** 1. 開啟 **Active Directory User and Computers** (Active Directory 使用者和電腦),在導覽樹狀目錄中選取具有您 NetBIOS 名稱的組織單位 (OU),然後選取 **Users** (使用者) OU。 **重要** 當您啟動 AWS Directory Service for Microsoft Active Directory 時, 會 AWS 建立組織單位 (OU),其中包含您目錄的所有物件。此 OU 有您在建立目錄時所輸入的 NetBIOS 名稱,位於根網域中。網域根由 擁有和管理 AWS。您不能變更根網域本身;因此,您必須在具有您 NetBIOS 名稱的 OU 內建立 **Joiners** 群組。 1. 開啟 **Users** (使用者) 的內容選單 (按一下右鍵) 選單,選擇 **New** (新增),然後選擇 **Group** (群組)。 1. 在 **New Object - Group** (新增物件 - 群組) 對話方塊中輸入如下內容,並選擇 **OK** (確定)。 + 在 **Group Name (群組名稱)** 中,輸入 **Joiners**。 + 針對 **Group scope** (群組範圍) 選擇 **Global** (全域)。 + 針對 **Group type** (群組類型),選擇 **Security** (安全性)。 1. 在導覽樹狀目錄中,選取您 NetBIOS 名稱下的 **Computers** (電腦) 容器。從 **Action** (動作) 選單,選擇 **Delegate Control** (委派控制)。 1. 在 **Delegation of Control Wizard** (委派控制精靈) 頁面,選擇 **Next** (下一步),然後選擇 **Add** (新增)。 1. 在 **Select Users, Computers, or Groups** (選取使用者、電腦或群組) 對話方塊中輸入 `Joiners`,並選擇 **OK** (確定)。如果找到多個物件,請選取在上述步驟中建立的 `Joiners` 群組。選擇**下一步**。 1. 在 **Tasks to Delegate** (要委派的任務) 頁面上,選取 **Create a custom task to delegate** (建立要委派的自訂任務),然後選擇 **Next** (下一步)。 1. 選取 **Only the following objects in the folder** (僅限資料夾中的下列物件),然後選取 **Computer objects** (電腦物件)。 1. 選取 **Create selected objects in this folder** (在此資料夾中建立選取的物件) 和 **Delete selected objects in this folder** (在此資料夾中刪除選取的物件)。然後選擇**下一步**。 ![\[物件類型\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/aduc_directory_join_linux.png) 1. 選取 **Read** (讀取) 和 **Write** (寫入),然後選擇 **Next** (下一步)。 ![\[物件類型\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/aduc_directory_join_permissions.png) 1. 驗證 **Completing the Delegation of Control Wizard** (完成委派控制精靈) 頁面中的資訊,然後選擇 **Finish** (完成)。 1. 建立使用高強度密碼的使用者,並將此使用者新增至 `Joiners` 群組。這個使用者必須位在您 NetBIOS 名稱下的 **Users** (使用者) 容器中。然後,使用者就會有足夠的權限將執行個體連線到目錄。