使用 Active Directory 來驗證使用者 - AWS Storage Gateway

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Active Directory 來驗證使用者

若要使用公司 Active Directory 或 AWS Managed Microsoft AD 進行使用者驗證存取 SMB 檔案共享,請使用 Microsoft AD 網域登入資料編輯閘道的 SMB 設定。這麼做可讓您的閘道加入 Active Directory 網域,並允許網域成員存取 SMB 檔案共享。

注意

您可以使用 AWS Directory Service在 中建立託管 Active Directory 網域服務 AWS 雲端。

若要 AWS Managed Microsoft AD 搭配 Amazon EC2 閘道使用 ,您必須在與 相同的 VPC 中建立 Amazon EC2 執行個體 AWS Managed Microsoft AD,將 _workspaceMembers 安全群組新增至 Amazon EC2 執行個體,並使用 中的 Admin 憑證加入 AD 網域 AWS Managed Microsoft AD。

如需 的詳細資訊 AWS Managed Microsoft AD,請參閱 AWS Directory Service 管理指南

如需 Amazon EC2 的詳細資訊,請參閱 Amazon Elastic Compute Cloud 文件

您也可以在 SMB 檔案共享上啟用存取控制清單 (ACLs)。如需如何啟用 ACLs的詳細資訊,請參閱 使用 Windows ACLs限制 SMB 檔案共用存取

開啟 Active Directory 身分驗證

  1. 前往 https://console.aws.amazon.com/storagegateway/home 開啟 Storage Gateway 主控台。

  2. 選擇閘道,然後選擇您要為其編輯 SMB 設定的閘道。

  3. 動作下拉式功能表中,選擇編輯 SMB 設定,然後選擇 Active Directory 設定

  4. 針對網域名稱,輸入您希望閘道加入的 Active Directory 網域名稱。

    注意

    若閘道從未加入網域,Active Directory status (Active Directory 狀態) 會顯示 Detached (已卸除)

    您的 Active Directory 服務帳戶必須具有必要的許可。如需詳細資訊,請參閱 Active Directory 服務帳戶許可要求

    加入網域會使用閘道的閘道 ID 做為帳戶名稱 (例如,SGW-1234ADE),在預設的電腦容器 (非 OU) 中建立 Active Directory 電腦帳戶。您無法自訂此帳戶的名稱。

    如果您的 Active Directory 環境要求您預先設定帳戶以促進加入網域程序,您將需要事先建立此帳戶。

    如果您的 Active Directory 環境具有新電腦物件的指定 OU,您必須在加入網域時指定該 OU。

    如果您的閘道無法加入 Active Directory 目錄,請試著使用 JoinDomain API 操作,使用目錄的 IP 地址來加入。

  5. 對於網域使用者網域密碼,輸入閘道將用於加入網域的 Active Directory 服務帳戶的登入資料。

  6. (選用) 針對組織單位 (OU),輸入 Active Directory 用於新電腦物件的指定 OU。

  7. (選用) 對於網域控制器 (DC),輸入閘道將透過其中連線到 Active Directory 的一或多個 DCs 的名稱。您可以輸入多個 DCs做為逗號分隔清單。您可以保留此欄位空白,以允許 DNS 自動選取 DC。

  8. 選擇儲存變更

限制檔案共享對特定 AD 使用者和群組的存取

  1. 在 Storage Gateway 主控台中,選擇您要限制存取的檔案共用。

  2. 動作下拉式功能表中,選擇編輯檔案共享存取設定

  3. 使用者和群組檔案共享存取區段中,選擇您的設定。

    針對允許的使用者和群組,選擇新增允許的使用者新增允許的群組,然後輸入您要允許檔案共用存取的 AD 使用者或群組。重複此程序,以允許盡可能多的使用者和群組。

    針對拒絕的使用者和群組,選擇新增拒絕的使用者新增拒絕群組,然後輸入您要拒絕檔案共用存取的 AD 使用者或群組。重複此程序,視需要拒絕任意數量的使用者和群組。

    注意

    只有在選取 Active Directory 時,才會顯示使用者和群組檔案共享存取區段。

    群組必須以 @ 字元為字首。可接受的格式包括:DOMAIN\User1@group1user1@DOMAIN\group1

    如果您設定允許和拒絕的使用者和群組清單,則 Windows ACLs 不會授予覆寫這些清單的任何存取權。

    允許和拒絕的使用者和群組清單會在 ACLs 之前進行評估,並控制哪些使用者可以掛載或存取檔案共享。如果允許清單中有任何使用者或群組,則該清單會被視為作用中,只有這些使用者可以掛載檔案共享。

    使用者掛載檔案共享之後,ACLs會提供更精細的保護,以控制使用者可以存取哪些特定檔案或資料夾。如需詳細資訊,請參閱在新的 SMB 檔案共享上啟用 Windows ACLs

  4. 當您完成新增項目時,請選擇 Save (儲存)