Bereitstellung eines Active Directory-Dienstkontos

Wenn Sie Amazon FSx for NetApp ONTAP SVMs zu Ihrer lokalen Active Directory-Domain hinzufügen möchten, müssen Sie während der gesamten Lebensdauer des FSx Amazon-Dateisystems über ein gültiges Active Directory-Dienstkonto verfügen. Amazon FSx muss in der Lage sein, das Dateisystem vollständig zu verwalten und Aufgaben auszuführen, die das Trennen und Wiederverbinden mit Ihrer Active Directory-Domain erfordern, wie z. B. das Ersetzen einer ausgefallenen Datei-SVM oder das Patchen NetApp der ONTAP-Software. Halten Sie Ihre Active Directory-Konfiguration, einschließlich der Anmeldeinformationen für das Dienstkonto, in Amazon auf dem neuesten Stand FSx.

Dieses Dienstkonto muss über die folgenden Berechtigungen in Active Directory verfügen:

• Berechtigungen zum Hinzufügen von Computern zur Domäne

• In der Organisationseinheit (OU), der Sie dem Dateisystem beitreten, verfügen Sie über folgende Berechtigungen:

  • Zurücksetzen von Passwörtern

  • Beschränken Sie das Lesen und Schreiben von Daten durch Konten

  • Schreiben Sie in den DNS-Hostnamen

  • Schreiben Sie in den Dienstprinzipalnamen

  • Erstellen und Löschen von Computerobjekten

  • Kontoeinschränkungen beim Lesen und Schreiben

Ein Active Directory-Domänenadministrator kann das Dienstkonto mithilfe des MMC-Snap-Ins Active Directory-Benutzer und -Computer manuell erstellen. Anweisungen finden Sie unter Delegieren von Berechtigungen an Ihr FSx Amazon-Servicekonto in der FSx ONTAP-Dokumentation. Sie können dieses Konto auch programmgesteuert konfigurieren. Sie könnten beispielsweise verwenden PowerShell, wie im folgenden Beispiel gezeigt.

param(
    [string] $DomainName,
    [string] $Username, #Service Account username
    [string] $Firstname, #Service Account Firstname
    [string] $Lastname, #Service Account Lastname
    [string] $saOU, #OU where Service Account is created
    [string] $delegateOrganizationalUnit #OU where Service Account has delegation
)

#Retrieve Active Directory domain credentials of a Domain Admin
$DomainCredential = ...

#Import Active Directory PowerShell module
...

#Create Service Account in specified OU
New-Active DirectoryUser -Credential $DomainCredential -SamAccountName $Username -UserPrincipalName "$Username@$DomainName" -Name "$Firstname $Lastname" -GivenName $Firstname -Surname $Lastname -Enabled $True -ChangePasswordAtLogon $False -DisplayName "$Lastname, $Firstname" -Path $saOU -CannotChangePassword $True -PasswordNotRequired $True
$user = Get-Active Directoryuser -Identity $Username
$userSID = [System.Security.Principal.SecurityIdentifier] $user.SID

#Connect to Active Directory drive
Set-Location Active Directory:

$ACL = Get-Acl -Path $delegateOrganizationalUnit
$Identity = [System.Security.Principal.IdentityReference] $userSID

#GUID of Active Directory Class
$Computers = [GUID]"bf967a86-0de6-11d0-a285-00aa003049e2"
$ResetPassword = [GUID]"00299570-246d-11d0-a768-00aa006e0529"
$ValidatedDNSHostName = [GUID]"72e39547-7b18-11d1-adef-00c04fd8d5cd"
$ValidatedSPN = [GUID]"f3a64788-5306-11d1-a9c5-0000f80367c1"
$AccountRestrictions = [GUID]"4c164200-20c0-11d0-a768-00aa006e0529"

#Delegation list
$rules = @()
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "CreateChild, DeleteChild", "Allow", $Computers, "All"))
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "ExtendedRight", "Allow", $ResetPassword, "Descendents", $Computers))
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "ReadProperty, WriteProperty", "Allow", $AccountRestrictions, "Descendents", $Computers))
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userSID, "Self", "Allow", $ValidatedDNSHostName, "Descendents", $Computers))
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userSID, "Self", "Allow", $ValidatedSPN, "Descendents", $Computers))

#Set delegation
foreach($rule in $rules) {
    $ACL.AddAccessRule($rule)
}
Set-Acl -Path $delegateOrganizationalUnit -AclObject $ACL