Provisionnement d'un compte de service Active Directory

Si vous souhaitez associer Amazon FSx for NetApp ONTAP SVMs à votre domaine Active Directory local, vous devez conserver un compte de service Active Directory valide pendant toute la durée de vie du système de FSx fichiers Amazon. Amazon FSx doit être en mesure de gérer entièrement le système de fichiers et d'effectuer des tâches qui nécessitent de dissocier puis de rejoindre votre domaine Active Directory, telles que le remplacement d'une SVM défaillante ou l'application de correctifs NetApp au logiciel ONTAP. Maintenez à jour votre configuration Active Directory, y compris les informations d'identification du compte de service, sur Amazon FSx.

Ce compte de service doit disposer des autorisations suivantes dans Active Directory :

Autorisations permettant d'associer des ordinateurs au domaine
Dans l'unité organisationnelle (UO) à laquelle vous rejoignez le système de fichiers, les autorisations nécessaires pour :
- Réinitialisation des mots de passe
- Empêcher les comptes de lire et d'écrire des données
- Écrire sur le nom d'hôte DNS
- Écrivez au nom principal du service
- Création et suppression d'objets informatiques
- Restrictions relatives aux comptes en lecture et en écriture

Un administrateur de domaine Active Directory peut créer le compte de service manuellement à l'aide du composant logiciel enfichable Active Directory User and Computers MMC. Pour obtenir des instructions, consultez la section Délégation d'autorisations à votre compte FSx de service Amazon dans la documentation FSx ONTAP. Vous pouvez également configurer ce compte par programmation. Par exemple, vous pouvez utiliser PowerShell, comme indiqué dans l'exemple suivant.


param(
    [string] $DomainName,
    [string] $Username, #Service Account username
    [string] $Firstname, #Service Account Firstname
    [string] $Lastname, #Service Account Lastname
    [string] $saOU, #OU where Service Account is created
    [string] $delegateOrganizationalUnit #OU where Service Account has delegation
)

#Retrieve Active Directory domain credentials of a Domain Admin
$DomainCredential = ...

#Import Active Directory PowerShell module
...

#Create Service Account in specified OU
New-Active DirectoryUser -Credential $DomainCredential -SamAccountName $Username -UserPrincipalName "$Username@$DomainName" -Name "$Firstname $Lastname" -GivenName $Firstname -Surname $Lastname -Enabled $True -ChangePasswordAtLogon $False -DisplayName "$Lastname, $Firstname" -Path $saOU -CannotChangePassword $True -PasswordNotRequired $True
$user = Get-Active Directoryuser -Identity $Username
$userSID = [System.Security.Principal.SecurityIdentifier] $user.SID

#Connect to Active Directory drive
Set-Location Active Directory:

$ACL = Get-Acl -Path $delegateOrganizationalUnit
$Identity = [System.Security.Principal.IdentityReference] $userSID

#GUID of Active Directory Class
$Computers = [GUID]"bf967a86-0de6-11d0-a285-00aa003049e2"
$ResetPassword = [GUID]"00299570-246d-11d0-a768-00aa006e0529"
$ValidatedDNSHostName = [GUID]"72e39547-7b18-11d1-adef-00c04fd8d5cd"
$ValidatedSPN = [GUID]"f3a64788-5306-11d1-a9c5-0000f80367c1"
$AccountRestrictions = [GUID]"4c164200-20c0-11d0-a768-00aa006e0529"

#Delegation list
$rules = @()
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "CreateChild, DeleteChild", "Allow", $Computers, "All"))
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "ExtendedRight", "Allow", $ResetPassword, "Descendents", $Computers))
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "ReadProperty, WriteProperty", "Allow", $AccountRestrictions, "Descendents", $Computers))
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userSID, "Self", "Allow", $ValidatedDNSHostName, "Descendents", $Computers))
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userSID, "Self", "Allow", $ValidatedSPN, "Descendents", $Computers))

#Set delegation
foreach($rule in $rules) {
    $ACL.AddAccessRule($rule)
}
Set-Acl -Path $delegateOrganizationalUnit -AclObject $ACL

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création d’un système de fichiers

Configuration du système de fichiers