Active Directory 서비스 계정 프로비저닝 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Active Directory 서비스 계정 프로비저닝

Amazon FSx for NetApp ONTAP SVMs 온프레미스 Active Directory 도메인에 조인하려면 Amazon FSx 파일 시스템의 수명 기간 동안 유효한 Active Directory 서비스 계정을 유지해야 합니다. Amazon FSx는 파일 시스템을 완전히 관리하고 실패한 파일 SVM 교체 또는 NetApp ONTAP 소프트웨어 패치와 같이 Active Directory 도메인의 가입을 취소하고 다시 가입해야 하는 작업을 수행할 수 있어야 합니다. Amazon FSx에서 서비스 계정 자격 증명을 포함한 Active Directory 구성을 업데이트합니다.

이 서비스 계정에는 Active Directory에서 다음 권한이 있어야 합니다.

  • 컴퓨터를 도메인에 조인할 수 있는 권한

  • 파일 시스템에 조인하는 조직 단위(OU)에서 다음에 대한 권한:

    • 암호 재설정

    • 계정의 데이터 읽기 및 쓰기 제한

    • DNS 호스트 이름에 쓰기

    • 서비스 보안 주체 이름에 쓰기

    • 컴퓨터 객체 생성 및 삭제

    • 읽기 및 쓰기 계정 제한

Active Directory 도메인 관리자는 Active Directory 사용자 및 컴퓨터 MMC 스냅인을 사용하여 서비스 계정을 수동으로 생성할 수 있습니다. 지침은 FSx for ONTAP 설명서의 Amazon FSx 서비스 계정에 권한 위임을 참조하세요. FSx 프로그래밍 방식으로이 계정을 구성할 수도 있습니다. 예를 들어 다음 예제와 같이 PowerShell을 사용할 수 있습니다.

param(
    [string] $DomainName,
    [string] $Username, #Service Account username
    [string] $Firstname, #Service Account Firstname
    [string] $Lastname, #Service Account Lastname
    [string] $saOU, #OU where Service Account is created
    [string] $delegateOrganizationalUnit #OU where Service Account has delegation
)

#Retrieve Active Directory domain credentials of a Domain Admin
$DomainCredential = ...

#Import Active Directory PowerShell module
...

#Create Service Account in specified OU
New-Active DirectoryUser -Credential $DomainCredential -SamAccountName $Username -UserPrincipalName "$Username@$DomainName" -Name "$Firstname $Lastname" -GivenName $Firstname -Surname $Lastname -Enabled $True -ChangePasswordAtLogon $False -DisplayName "$Lastname, $Firstname" -Path $saOU -CannotChangePassword $True -PasswordNotRequired $True
$user = Get-Active Directoryuser -Identity $Username
$userSID = [System.Security.Principal.SecurityIdentifier] $user.SID

#Connect to Active Directory drive
Set-Location Active Directory:

$ACL = Get-Acl -Path $delegateOrganizationalUnit
$Identity = [System.Security.Principal.IdentityReference] $userSID

#GUID of Active Directory Class
$Computers = [GUID]"bf967a86-0de6-11d0-a285-00aa003049e2"
$ResetPassword = [GUID]"00299570-246d-11d0-a768-00aa006e0529"
$ValidatedDNSHostName = [GUID]"72e39547-7b18-11d1-adef-00c04fd8d5cd"
$ValidatedSPN = [GUID]"f3a64788-5306-11d1-a9c5-0000f80367c1"
$AccountRestrictions = [GUID]"4c164200-20c0-11d0-a768-00aa006e0529"

#Delegation list
$rules = @()
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "CreateChild, DeleteChild", "Allow", $Computers, "All"))
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "ExtendedRight", "Allow", $ResetPassword, "Descendents", $Computers))
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "ReadProperty, WriteProperty", "Allow", $AccountRestrictions, "Descendents", $Computers))
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userSID, "Self", "Allow", $ValidatedDNSHostName, "Descendents", $Computers))
$rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userSID, "Self", "Allow", $ValidatedSPN, "Descendents", $Computers))

#Set delegation
foreach($rule in $rules) {
    $ACL.AddAccessRule($rule)
}
Set-Acl -Path $delegateOrganizationalUnit -AclObject $ACL