Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Aprovisionamiento de una cuenta de servicio de Active Directory
Si desea unir Amazon FSx for NetApp ONTAP SVMs a su dominio de Active Directory local, debe mantener una cuenta de servicio de Active Directory válida durante toda la vida útil del sistema de FSx archivos de Amazon. Amazon FSx debe poder gestionar completamente el sistema de archivos y realizar tareas que requieran separar y volver a unir el dominio de Active Directory, como sustituir un archivo SVM defectuoso o aplicar parches NetApp al software ONTAP. Mantenga actualizada la configuración de Active Directory, incluidas las credenciales de la cuenta de servicio, en Amazon FSx.
Esta cuenta de servicio debe tener los siguientes permisos en Active Directory:
-
Permisos para unir equipos al dominio
-
En la unidad organizativa (OU) en la que vas a unirte al sistema de archivos, permisos para:
-
Restablecer contraseñas
-
Impedir que las cuentas lean y escriban datos
-
Escribe en el nombre de host del DNS
-
Escribe en el nombre principal del servicio
-
Crear y eliminar objetos de equipo
-
Lea y escriba las restricciones de la cuenta
-
Un administrador de dominio de Active Directory puede crear la cuenta de servicio manualmente mediante el complemento MMC Usuarios y equipos de Active Directory. Para obtener instrucciones, consulte Delegar permisos en su cuenta de FSx servicio de Amazon en la documentación FSx de ONTAP. También puede configurar esta cuenta mediante programación. Por ejemplo, puede usar PowerShell
param( [string] $DomainName, [string] $Username, #Service Account username [string] $Firstname, #Service Account Firstname [string] $Lastname, #Service Account Lastname [string] $saOU, #OU where Service Account is created [string] $delegateOrganizationalUnit #OU where Service Account has delegation ) #Retrieve Active Directory domain credentials of a Domain Admin $DomainCredential = ... #Import Active Directory PowerShell module ... #Create Service Account in specified OU New-Active DirectoryUser -Credential $DomainCredential -SamAccountName $Username -UserPrincipalName "$Username@$DomainName" -Name "$Firstname $Lastname" -GivenName $Firstname -Surname $Lastname -Enabled $True -ChangePasswordAtLogon $False -DisplayName "$Lastname, $Firstname" -Path $saOU -CannotChangePassword $True -PasswordNotRequired $True $user = Get-Active Directoryuser -Identity $Username $userSID = [System.Security.Principal.SecurityIdentifier] $user.SID #Connect to Active Directory drive Set-Location Active Directory: $ACL = Get-Acl -Path $delegateOrganizationalUnit $Identity = [System.Security.Principal.IdentityReference] $userSID #GUID of Active Directory Class $Computers = [GUID]"bf967a86-0de6-11d0-a285-00aa003049e2" $ResetPassword = [GUID]"00299570-246d-11d0-a768-00aa006e0529" $ValidatedDNSHostName = [GUID]"72e39547-7b18-11d1-adef-00c04fd8d5cd" $ValidatedSPN = [GUID]"f3a64788-5306-11d1-a9c5-0000f80367c1" $AccountRestrictions = [GUID]"4c164200-20c0-11d0-a768-00aa006e0529" #Delegation list $rules = @() $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "CreateChild, DeleteChild", "Allow", $Computers, "All")) $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "ExtendedRight", "Allow", $ResetPassword, "Descendents", $Computers)) $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "ReadProperty, WriteProperty", "Allow", $AccountRestrictions, "Descendents", $Computers)) $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userSID, "Self", "Allow", $ValidatedDNSHostName, "Descendents", $Computers)) $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userSID, "Self", "Allow", $ValidatedSPN, "Descendents", $Computers)) #Set delegation foreach($rule in $rules) { $ACL.AddAccessRule($rule) } Set-Acl -Path $delegateOrganizationalUnit -AclObject $ACL
