Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden Sie Active Directory, um Benutzer zu authentifizieren
Um Ihr Unternehmens-Active Directory oder AWS Managed Microsoft AD für den benutzerauthentifizierten Zugriff auf Ihre SMB-Dateifreigabe zu verwenden, bearbeiten Sie die SMB-Einstellungen für Ihr Gateway mit Ihren Microsoft AD-Domänenanmeldeinformationen. Dadurch kann sich das Gateway mit der Active Directory-Domain verbinden und Mitglieder der Domain haben Zugriff auf die SMB-Dateifreigabe.
Anmerkung
Mithilfe AWS Directory Service können Sie einen gehosteten Active Directory-Domänendienst in der erstellen. AWS Cloud
Für die Verwendung AWS Managed Microsoft AD mit einem EC2 Amazon-Gateway müssen Sie die EC2 Amazon-Instance in derselben VPC wie die erstellen AWS Managed Microsoft AD, die Sicherheitsgruppe _WorkspaceMembers zur EC2 Amazon-Instance hinzufügen und der AD-Domain mit den Admin-Anmeldeinformationen von beitreten. AWS Managed Microsoft AD
Weitere Informationen zu Amazon EC2 finden Sie in der Amazon Elastic Compute Cloud-Dokumentation.
Sie können auch Zugriffskontrolllisten (ACLs) auf Ihrer SMB-Dateifreigabe aktivieren. Informationen zur Aktivierung finden Sie ACLs unterVerwendung von Windows ACLs zur Beschränkung des SMB-Dateifreigabezugriffs.
So aktivieren Sie die Active Directory-Authentifizierung
Öffnen Sie die Storage Gateway Gateway-Konsole https://console.aws.amazon.com/storagegateway/zu Hause
. -
Wählen Sie Gateways und anschließend das Gateway aus, für das Sie die SMB-Einstellungen bearbeiten möchten.
-
Wählen Sie im Dropdownmenü Aktionen die Option SMB-Einstellungen bearbeiten und anschließend Active Directory-Einstellungen aus.
-
Geben Sie als Domänenname den Namen der Active Directory-Domäne ein, der Ihr Gateway beitreten soll.
Anmerkung
Für Active Directory status (Active Directory-Status) wird Detached (Getrennt) angezeigt, wenn ein Gateway noch nie einer Domäne beigetreten ist.
Ihr Active Directory-Dienstkonto muss über die erforderlichen Berechtigungen verfügen. Weitere Informationen finden Sie unter Berechtigungsanforderungen für Active Directory-Dienstkonten Berechtigungsanforderungen für .
Durch den Beitritt zu einer Domäne wird ein Active Directory-Computerkonto im Standardcomputercontainer (der keine Organisationseinheit ist) erstellt, wobei die Gateway-ID des Gateways als Kontoname verwendet wird (z. B. SGW-1234ADE). Es ist nicht möglich, den Namen dieses Kontos anzupassen.
Wenn Ihre Active Directory-Umgebung erfordert, dass Sie Konten vorab bereitstellen, um den Domänenbeitritt zu erleichtern, müssen Sie dieses Konto im Voraus erstellen.
Wenn Ihre Active Directory-Umgebung über eine festgelegte Organisationseinheit für neue Computerobjekte verfügt, müssen Sie diese Organisationseinheit angeben, wenn Sie der Domäne beitreten.
Wenn Ihr Gateway einem Active Directory-Verzeichnis nicht beitreten kann, versuchen Sie, mithilfe der JoinDomainAPI-Operation eine Verbindung mit der IP-Adresse des Verzeichnisses herzustellen.
-
Geben Sie für Domänenbenutzer und Domänenkennwort die Anmeldeinformationen für das Active Directory-Dienstkonto ein, mit dem das Gateway der Domäne beitritt.
-
(Optional) Geben Sie unter Organisationseinheit (OU) die angegebene Organisationseinheit ein, die Ihr Active Directory für neue Computerobjekte verwendet.
-
(Optional) Geben Sie für Domänencontroller (DC) den Namen eines oder mehrerer Controller ein, DCs über die Ihr Gateway eine Verbindung zu Active Directory herstellt. Sie können mehrere DCs als kommagetrennte Liste eingeben. Sie können dieses Feld leer lassen, damit DNS automatisch einen DC auswählt.
-
Wählen Sie Änderungen speichern aus.
So schränken Sie den Dateifreigabezugriff auf bestimmte AD-Benutzer und -Gruppen ein
-
Wählen Sie in der Storage Gateway Gateway-Konsole die Dateifreigabe aus, auf die Sie den Zugriff einschränken möchten.
-
Wählen Sie im Dropdownmenü Aktionen die Option Einstellungen für den Dateifreigabezugriff bearbeiten aus.
-
Wählen Sie im Abschnitt Dateifreigabezugriff für Benutzer und Gruppen Ihre Einstellungen aus.
Wählen Sie für Zulässige Benutzer und Gruppen die Option Zulässigen Benutzer hinzufügen oder Zulässige Gruppe hinzufügen aus und geben Sie einen AD-Benutzer oder eine AD-Gruppe ein, dem/der Sie Fileshare-Zugriff gewähren möchten. Wiederholen Sie diesen Vorgang, um so viele Benutzer und Gruppen wie nötig zuzulassen.
Wählen Sie für Verweigerte Benutzer und Gruppen die Option Abgelehnten Benutzer hinzufügen oder Verweigerte Gruppe hinzufügen aus und geben Sie einen AD-Benutzer oder eine AD-Gruppe ein, dem/der Sie den Dateifreigabezugriff verweigern möchten. Wiederholen Sie diesen Vorgang, um so vielen Benutzern und Gruppen wie nötig den Zugriff zu verweigern.
Anmerkung
Der Abschnitt Dateifreigabezugriff für Benutzer und Gruppen wird nur angezeigt, wenn Active Directory ausgewählt ist.
Gruppen muss das
@Zeichen vorangestellt werden. Zulässige Formate sind:DOMAIN\User1user1,@group1, und@DOMAIN\group1.Wenn Sie Listen mit erlaubten und abgelehnten Benutzern und Gruppen konfigurieren, gewährt Windows ACLs keinen Zugriff, der diese Listen außer Kraft setzt.
Die Listen „Zulässige“ und „Abgelehnte Benutzer“ und „Gruppen“ werden zuvor ausgewertet und legen fest ACLs, welche Benutzer die Dateifreigabe bereitstellen oder darauf zugreifen können. Wenn Benutzer oder Gruppen in die Liste der zugelassenen Benutzer oder Gruppen aufgenommen werden, gilt die Liste als aktiv, und nur diese Benutzer können die Dateifreigabe bereitstellen.
Nachdem ein Benutzer eine Dateifreigabe bereitgestellt hat, bieten ACLs Sie einen detaillierteren Schutz, der steuert, auf welche spezifischen Dateien oder Ordner der Benutzer zugreifen kann. Weitere Informationen finden Sie unter Windows ACLs auf einer neuen SMB-Dateifreigabe aktivieren.
-
Nachdem Sie die Einträge hinzugefügt haben, wählen Sie Save (Speichern).
