本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 向 Amazon FSx 服务账户或群组委派权限
<a name="assign-permissions-to-service-account"></a>

亚马逊 FSx 服务账户或管理员组必须具有[必要的权限](self-managed-AD.md#service-account-prereqs)，才能将 Windows 文件服务器文件系统加入 FSx 您的自我管理的 Active Directory 域。要委派这些权限，可以使用 Active Directory User and Computers MMC 管理单元中的**委派控制**或**高级功能**，如以下过程所述。

## 使用**委派控制**分配权限
<a name="assign-permissions-delegate-control"></a>

**使用**委派控制**为服务账号或群组分配权限**

1. 以 Active Directory 域的域管理员身份登录系统。

1. 打开 **Active Directory User and Computers** MMC 管理单元。

1. 在任务窗格中，展开域节点。

1. 找到并打开您要修改的 OU 的上下文（右键单击）菜单，然后选择**委派控制**。

1. 在**控制委派向导**页面上，选择**下一步**。

1. 选择 “**添**加” 以添加您的亚马逊 FSx 服务账户或群组的名称，然后选择 “**下一步**”。

1. 在**要委派的任务**页面上，选择**创建要委派的自定义任务**，然后选择**下一步**。

1. 选择**仅文件夹中的以下对象**，然后选择**计算机对象**。

1. 选择**在此文件夹中创建选定对象**和**删除此文件夹中的选定对象**。然后选择**下一步**。

1. 在**权限**中，请选择以下选项：
   + **重置密码**
   + **读取和写入账户限制**
   + **已验证写入 DNS 主机名**
   + **已验证写入服务主体名称**

1. 选择**下一步**，然后选择**完成**。

1. 关闭 **Active Directory User and Computers** MMC 管理单元。

## 使用**高级功能**分配权限
<a name="assign-permissions-advanced-features"></a>

1. 以 Active Directory 域的域管理员身份登录系统。

1. 打开 **Active Directory User and Computers** MMC 管理单元。

1. 从菜单栏中选择**查看**，并确保已启用**高级功能**（如果启用了该功能，则旁边会显示一个对勾标记）。

1. 在任务窗格中，展开域节点。

1. 找到并打开您要修改的 OU 的上下文菜单（右键单击），然后选择**属性**。

1. 在 **OU 属性**窗格中，选择**安全**选项卡。

1. 在**安全**选项卡上，选择**高级**。然后选择**添加**。

1. 在 “**权限输入**” 页面上，选择 **“选择委托人**”，然后输入您的亚马逊 FSx 服务账户或群组的名称。在**适用于:**中，选择**此对象和所有后代计算机**。请确保选择了以下权限：
   + **修改权限**
   + **创建计算机对象**
   + **删除计算机对象**

1. 选择**应用**，然后选择**确定**。

1. 关闭 **Active Directory User and Computers** MMC 管理单元。