Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Use Active Directory para autenticar a los usuarios
Para usar su Active Directory corporativo o AWS Managed Microsoft AD para el acceso autenticado por el usuario a su recurso compartido de archivos SMB, edite la configuración SMB de su puerta de enlace con sus credenciales de dominio de Microsoft AD. De este modo, la gateway puede unirse al dominio de Active Directory, lo que permite a los miembros del dominio tener acceso al recurso compartido de archivos SMB.
nota
Con él AWS Directory Service, puede crear un servicio de dominio de Active Directory alojado en. Nube de AWS
Para utilizarla AWS Managed Microsoft AD con una EC2 puerta de enlace de Amazon, debe crear la EC2 instancia de Amazon en la misma VPC que la AWS Managed Microsoft AD, añadir el grupo de seguridad _WorkspaceMembers a la instancia de EC2 Amazon y unirse al dominio de AD con las credenciales de administrador de. AWS Managed Microsoft AD
Para obtener más información sobre Amazon EC2, consulte la documentación de Amazon Elastic Compute Cloud.
También puede activar las listas de control de acceso (ACLs) en su recurso compartido de archivos SMB. Para obtener información sobre cómo activarlas ACLs, consulteUso de Windows ACLs para limitar el acceso a los archivos compartidos en pequeñas y medianas empresas.
Para activar la autenticación de Active Directory
Abra la consola Storage Gateway en https://console.aws.amazon.com/storagegateway/casa
. -
Elija Gateways y, a continuación, elija la puerta de enlace en la que desee editar la configuración de SMB.
-
En el menú desplegable Acciones, elija Editar la configuración de SMB y, a continuación, elija la configuración de Active Directory.
-
En Nombre de dominio, introduzca el nombre del dominio de Active Directory al que desee que se una a la puerta de enlace.
nota
Active Directory status (Estado de Active Directory) muestra Detached (Desvinculado) cuando una gateway no se ha unido nunca a un dominio.
Su cuenta de servicio de Active Directory debe tener los permisos necesarios. Para obtener más información, consulte Requisitos de permiso de la cuenta de servicio de Active Directory Requisitos de permiso de la Directory.
Al unirse a un dominio, se crea una cuenta de equipo de Active Directory en el contenedor de equipos predeterminado (que no es una unidad organizativa), con el ID de puerta de enlace de la puerta de enlace como nombre de cuenta (por ejemplo, SGW-1234ADE). No es posible personalizar el nombre de esta cuenta.
Si su entorno de Active Directory requiere que configure previamente las cuentas para facilitar el proceso de unión al dominio, tendrá que crear esta cuenta con antelación.
Si su entorno de Active Directory tiene una unidad organizativa designada para los nuevos objetos informáticos, debe especificarla al unirse al dominio.
Si la puerta de enlace no puede unirse a un directorio de Active Directory, intente unirse con la dirección IP del directorio mediante la operación de JoinDomainAPI.
-
En el campo Usuario de dominio y Contraseña de dominio, introduzca las credenciales de la cuenta de servicio de Active Directory que la puerta de enlace utilizará para unirse al dominio.
-
(Opcional) En el caso de la unidad organizativa (OU), introduzca la OU designada que Active Directory utilizará para los nuevos objetos informáticos.
-
(Opcional) En el caso de los controladores de dominio (DC), introduzca el nombre de uno o varios DCs a través de los cuales la puerta de enlace se conectará a Active Directory. Puede introducir varios DCs como una lista separada por comas. Puede dejar este campo en blanco para permitir que DNS seleccione automáticamente un DC.
-
Seleccione Save changes (Guardar cambios).
Para limitar el acceso a los recursos compartidos de archivos a determinados usuarios y grupos de AD
-
En la consola Storage Gateway, elija el recurso compartido de archivos al que desee limitar el acceso.
-
En el menú desplegable Acciones, seleccione Editar la configuración de acceso a los archivos compartidos.
-
En la sección Acceso a archivos compartidos de usuarios y grupos, selecciona tu configuración.
En Usuarios y grupos permitidos, selecciona Añadir usuario permitido o Añadir grupo permitido e introduce un usuario o grupo de AD al que quieras permitir el acceso a los archivos compartidos. Repite este proceso para permitir tantos usuarios y grupos como sea necesario.
En el caso de los usuarios y grupos denegados, seleccione Añadir usuario denegado o Añadir grupo denegado e introduzca un usuario o grupo de AD al que desee denegar el acceso a los archivos compartidos. Repita este proceso para denegar tantos usuarios y grupos como sea necesario.
nota
La sección Acceso a archivos compartidos de usuarios y grupos solo aparece si se selecciona Active Directory.
Los grupos deben llevar el prefijo del
@carácter. Los formatos aceptables incluyen:DOMAIN\User1,user1@group1, y@DOMAIN\group1.Si configura listas de usuarios y grupos permitidos y denegados, Windows ACLs no concederá ningún acceso que invalide esas listas.
Las listas de usuarios y grupos permitidos y denegados se evalúan previamente ACLs y controlan qué usuarios pueden montar el recurso compartido de archivos o acceder a él. Si se incluye algún usuario o grupo en la lista de permitidos, la lista se considera activa y solo esos usuarios pueden montar el recurso compartido de archivos.
Una vez que un usuario haya montado un recurso compartido de archivos, ofrezca una protección más detallada que ACLs controle a qué archivos o carpetas específicos puede acceder el usuario. Para obtener más información, consulte Activar Windows ACLs en un nuevo recurso compartido de archivos SMB.
-
Cuando termine de añadir entradas, elija Save (Guardar).
