As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Provisionando uma conta de serviço do Active Directory
Se você quiser associar o Amazon FSx for NetApp ONTAP SVMs ao seu domínio local do Active Directory, você deve manter uma conta de serviço válida do Active Directory durante toda a vida útil do sistema de FSx arquivos da Amazon. A Amazon FSx deve ser capaz de gerenciar totalmente o sistema de arquivos e realizar tarefas que exijam a desvinculação e a reintegração do seu domínio do Active Directory, como substituir um arquivo SVM com falha ou corrigir NetApp o software ONTAP. Mantenha sua configuração do Active Directory, incluindo as credenciais da conta de serviço, atualizada na Amazon FSx.
Essa conta de serviço deve ter as seguintes permissões no Active Directory:
-
Permissões para associar computadores ao domínio
-
Na unidade organizacional (OU) em que você está ingressando no sistema de arquivos, permissões para:
-
Redefinir senhas
-
Restringir contas de ler e gravar dados
-
Gravar no nome do host DNS
-
Escreva para o nome principal do serviço
-
Criar e excluir objetos de computador
-
Restrições de leitura e gravação da conta
-
Um administrador de domínio do Active Directory pode criar a conta de serviço manualmente usando o snap-in MMC de Usuários e Computadores do Active Directory. Para obter instruções, consulte Delegar permissões para sua conta de FSx serviço da Amazon na documentação do FSx ONTAP. Você também pode configurar essa conta programaticamente. Por exemplo, você pode usar PowerShell
param( [string] $DomainName, [string] $Username, #Service Account username [string] $Firstname, #Service Account Firstname [string] $Lastname, #Service Account Lastname [string] $saOU, #OU where Service Account is created [string] $delegateOrganizationalUnit #OU where Service Account has delegation ) #Retrieve Active Directory domain credentials of a Domain Admin $DomainCredential = ... #Import Active Directory PowerShell module ... #Create Service Account in specified OU New-Active DirectoryUser -Credential $DomainCredential -SamAccountName $Username -UserPrincipalName "$Username@$DomainName" -Name "$Firstname $Lastname" -GivenName $Firstname -Surname $Lastname -Enabled $True -ChangePasswordAtLogon $False -DisplayName "$Lastname, $Firstname" -Path $saOU -CannotChangePassword $True -PasswordNotRequired $True $user = Get-Active Directoryuser -Identity $Username $userSID = [System.Security.Principal.SecurityIdentifier] $user.SID #Connect to Active Directory drive Set-Location Active Directory: $ACL = Get-Acl -Path $delegateOrganizationalUnit $Identity = [System.Security.Principal.IdentityReference] $userSID #GUID of Active Directory Class $Computers = [GUID]"bf967a86-0de6-11d0-a285-00aa003049e2" $ResetPassword = [GUID]"00299570-246d-11d0-a768-00aa006e0529" $ValidatedDNSHostName = [GUID]"72e39547-7b18-11d1-adef-00c04fd8d5cd" $ValidatedSPN = [GUID]"f3a64788-5306-11d1-a9c5-0000f80367c1" $AccountRestrictions = [GUID]"4c164200-20c0-11d0-a768-00aa006e0529" #Delegation list $rules = @() $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "CreateChild, DeleteChild", "Allow", $Computers, "All")) $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "ExtendedRight", "Allow", $ResetPassword, "Descendents", $Computers)) $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($Identity, "ReadProperty, WriteProperty", "Allow", $AccountRestrictions, "Descendents", $Computers)) $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userSID, "Self", "Allow", $ValidatedDNSHostName, "Descendents", $Computers)) $rules += $(New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userSID, "Self", "Allow", $ValidatedSPN, "Descendents", $Computers)) #Set delegation foreach($rule in $rules) { $ACL.AddAccessRule($rule) } Set-Acl -Path $delegateOrganizationalUnit -AclObject $ACL
