Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyediakan akun layanan Active Directory
Jika ingin bergabung dengan Amazon FSx untuk NetApp ONTAP SVMs ke domain Active Directory lokal, Anda harus mempertahankan akun layanan Active Directory yang valid selama masa pakai sistem FSx file Amazon. Amazon FSx harus dapat sepenuhnya mengelola sistem file dan melakukan tugas yang memerlukan pemutusan dan bergabung kembali dengan domain Direktori Aktif Anda, seperti mengganti file SVM yang gagal atau menambal NetApp perangkat lunak ONTAP. Tetap perbarui konfigurasi Active Directory Anda, termasuk kredensi akun layanan, di Amazon. FSx
Akun layanan ini harus memiliki izin berikut di Active Directory:
-
Izin untuk bergabung dengan komputer ke domain
-
Di unit organisasi (OU) tempat Anda bergabung dengan sistem file, izin untuk:
-
Atur ulang kata sandi
-
Batasi akun dari membaca dan menulis data
-
Menulis ke nama host DNS
-
Menulis ke nama utama layanan
-
Membuat dan menghapus objek komputer
-
Membaca dan menulis pembatasan akun
-
Administrator domain Active Directory dapat membuat akun layanan secara manual dengan menggunakan snap-in Active Directory User dan Computers MMC. Untuk petunjuk, lihat Mendelegasikan izin ke akun FSx layanan Amazon Anda di dokumentasi FSx untuk ONTAP. Anda juga dapat mengonfigurasi akun ini secara terprogram. Misalnya, Anda dapat menggunakan PowerShell
param( [string] $DomainName, [string] $Username, #Service Account username [string] $Firstname, #Service Account Firstname [string] $Lastname, #Service Account Lastname [string] $saOU, #OU where Service Account is created [string] $delegateOrganizationalUnit #OU where Service Account has delegation ) #Retrieve Active Directory domain credentials of a Domain Admin $DomainCredential = ... #Import Active Directory PowerShell module ... #Create Service Account in specified OU New-Active DirectoryUser -Credential $DomainCredential -SamAccountName $Username -UserPrincipalName "$Username@$DomainName" -Name "$Firstname $Lastname" -GivenName $Firstname -Surname $Lastname -Enabled $True -ChangePasswordAtLogon $False -DisplayName "$Lastname, $Firstname" -Path $saOU -CannotChangePassword $True -PasswordNotRequired $True $user = Get-Active Directoryuser -Identity $Username $userSID = [System.Security.Principal.SecurityIdentifier] $user.SID #Connect to Active Directory drive Set-Location Active Directory: $ACL = Get-Acl -Path $delegateOrganizationalUnit $Identity = [System.Security.Principal.IdentityReference] $userSID #GUID of Active Directory Class $Computers = [GUID]"bf967a86-0de6-11d0-a285-00aa003049e2" $ResetPassword = [GUID]"00299570-246d-11d0-a768-00aa006e0529" $ValidatedDNSHostName = [GUID]"72e39547-7b18-11d1-adef-00c04fd8d5cd" $ValidatedSPN = [GUID]"f3a64788-5306-11d1-a9c5-0000f80367c1" $AccountRestrictions = [GUID]"4c164200-20c0-11d0-a768-00aa006e0529" #Delegation list $rules = @() $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "CreateChild, DeleteChild", "Allow", $Computers, "All")) $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "ExtendedRight", "Allow", $ResetPassword, "Descendents", $Computers)) $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "ReadProperty, WriteProperty", "Allow", $AccountRestrictions, "Descendents", $Computers)) $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userSID, "Self", "Allow", $ValidatedDNSHostName, "Descendents", $Computers)) $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userSID, "Self", "Allow", $ValidatedSPN, "Descendents", $Computers)) #Set delegation foreach($rule in $rules) { $ACL.AddAccessRule($rule) } Set-Acl -Path $delegateOrganizationalUnit -AclObject $ACL
