Práticas recomendadas para trabalhar com o Active Directory - FSx para ONTAP
Delegando permissões à sua conta de FSx serviço da AmazonMantenha uma configuração do AD atualizadaLimite o tráfego dentro de um VPC com grupos de segurançaComo criar regras de saída de grupo de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para trabalhar com o Active Directory

Aqui estão algumas sugestões e diretrizes que você deve considerar ao associar a Amazon FSx NetApp ONTAP SVMs ao seu Microsoft Active Directory autogerenciado. Observe que elas são práticas recomendadas, mas não obrigatórias.

Delegando permissões à sua conta de FSx serviço da Amazon

Certifique-se de configurar a conta de serviço que você fornece à Amazon FSx com as permissões mínimas necessárias. Além disso, separe a unidade organizacional (UO) de outras preocupações do controlador de domínio.

Para associar FSx SVMs a Amazon ao seu domínio, certifique-se de que a conta de serviço tenha permissões delegadas. Os membros do grupo Administradores de domínio têm permissões suficientes para realizar essa tarefa. No entanto, como prática recomendada, use uma conta de serviço que tenha apenas as permissões mínimas necessárias para fazer isso. O procedimento a seguir demonstra como delegar somente as permissões necessárias FSx para ingressar no seu ONTAP SVMs domínio.

Execute esse procedimento em uma máquina que esteja associada ao seu diretório e tenha o MMC snap-in Usuários e Computadores do Active Directory instalado.

Para criar uma conta de serviço para seu domínio do Microsoft Active Directory

  1. Verifique se você está conectado como administrador de domínio do seu domínio do Microsoft Active Directory.

  2. Abra o MMC snap-in Usuários e Computadores do Active Directory.

  3. No painel de tarefas, expanda o nó do domínio.

  4. Localize e abra o menu de contexto (clique com o botão direito do mouse) na UO que deseja modificar e selecione Delegar controle.

  5. Na página Assistente de delegação de controle, escolha Próximo.

  6. Escolha Adicionar para adicionar um usuário específico ou um grupo específico em Usuários e grupos selecionados e selecione Próximo.

  7. Na página Tasks to Delegate (Tarefas para delegar), selecione Create a custom task to delegate (Criar uma tarefa personalizada para delegar) e, em seguida, selecione Next (Avançar).

  8. Escolha Somente os objetos a seguir na pasta, e depois Objetos de computador.

  9. Selecione Criar objetos selecionados nesta pasta e Excluir objetos selecionados nesta pasta. Em seguida, escolha Próximo.

  10. Em Mostrar essas permissões, certifique-se de que Geral e Específico da propriedade estejam selecionados.

  11. Em Permissões, escolha o seguinte:

    • Redefinir senha

    • Restrições de leitura e gravação da conta

    • Gravação validada no nome DNS do host

    • Gravação validada no nome da entidade principal do serviço

    • Escreva MSDs- SupportedEncryptionTypes

  12. Escolha Next (Próximo) e, em seguida, escolha Finish (Concluir).

  13. Feche o MMC snap-in Usuários e Computadores do Active Directory.

Importante

Não mova objetos de computador que a Amazon FSx cria na OU após sua SVMs criação. Fazer isso fará com que seu SVMs seja configurado incorretamente.

Mantendo sua configuração do Active Directory atualizada com a Amazon FSx

Para uma disponibilidade ininterrupta do seu Amazon FSxSVMs, atualize uma configuração autogerenciada SVM do Active Directory (AD) ao alterar sua configuração autogerenciada do AD.

Por exemplo, suponha que o seu AD use uma política de redefinição de senha baseada em tempo. Nesse caso, assim que a senha for redefinida, certifique-se de atualizar a senha da conta de serviço na AmazonFSx. Para fazer isso, use o FSx console da Amazon FSxAPI, Amazon ou AWS CLI. Da mesma forma, se os endereços IP DNS do servidor mudarem no seu domínio do Active Directory, assim que a alteração ocorrer, atualize os endereços IP DNS do servidor com a AmazonFSx.

Se houver um problema com a configuração atualizada do AD autogerenciado, o SVM estado mudará para Configurado incorretamente. Esse estado mostra uma mensagem de erro e uma ação recomendada ao lado da SVM descrição no consoleAPI, CLI e. Se ocorrer um problema com a configuração SVM do AD, certifique-se de tomar a ação corretiva recomendada para as propriedades da configuração. Se o problema for resolvido, verifique se SVM o seu estado muda para Criado.

Para ter mais informações, consulte Atualizando as configurações existentes do SVM Active Directory usando o AWS Management Console, AWS CLI, e API e Modifique uma configuração do Active Directory usando o ONTAP CLI.

Usando grupos de segurança para limitar o tráfego em seu VPC

Para limitar o tráfego de rede em sua nuvem privada virtual (VPC), você pode implementar o princípio do menor privilégio em suaVPC. Em outras palavras, você pode limitar as permissões ao mínimo necessário. Para isso, use as regras do grupo de segurança. Para saber mais, consulte Grupos VPC de segurança da Amazon.

Como criar regras de saída de grupo de segurança para a interface de rede do sistema de arquivos

Para maior segurança, considere configurar um grupo de segurança com regras de tráfego de saída. Essas regras devem permitir o tráfego de saída somente para os controladores de domínios do AD autogerenciado ou dentro da sub-rede ou do grupo de segurança. Aplique esse grupo de segurança ao VPC associado à interface de rede elástica do seu sistema de FSx arquivos Amazon. Para saber mais, consulte Controle de acesso ao sistema de arquivos com a Amazon VPC.