將 FSx FSx for Windows File Server 檔案系統加入自我管理的 Microsoft 活動目錄網域的最佳作法 - Amazon FSx for Windows File Server

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 FSx FSx for Windows File Server 檔案系統加入自我管理的 Microsoft 活動目錄網域的最佳作法

當您將 Amazon FSx FSx for Windows File Server 加入系統到您自我管理的 Microsoft 活動目錄時,我們建議您使用這些最佳實務。

將權限委派給您的 Amazon FSx 服務帳戶

請務必以所需的最低權限設定您提供給 Amazon FSx 的服務帳戶。此外,請將組織單位 (OU) 與其他網域控制站問題隔離。

若要將 Amazon FSx 檔案系統加入您的網域,請確定服務帳戶具有委派的權限。網域管理員群組的成員擁有足夠的權限來執行此工作。不過,最佳作法是使用僅具有執行此操作所需最低權限的服務帳戶。下列程序示範如何僅委派將 Amazon FSx 檔案系統加入您的網域所需的權限。

您可以使用 [使用中的目錄使用者和電腦 MMC 嵌入式管理單元中委派控制項進階功能來指派這些權限。

在已加入 Active Directory 且已安裝Active Directory User and Computers MMC嵌入式管理單元的電腦上執行下列任一程序。

使用委派控制將權限指派給服務帳戶或群組
  1. 以您的作用中目錄網域的網域系統管理員身分登入您的系統。

  2. 開啟使用中目錄使用者和電腦 MMC 嵌入式管理單元。

  3. 在工作窗格中,展開網域節點。

  4. 找出並開啟您要修改之 OU 的內容 (按一下滑鼠右鍵) 功能表,然後選擇 [委派控制]。

  5. 在 [委派控制精靈] 頁面上,選擇 [下一步]。

  6. 選擇 [增] 以新增 Amazon FSx 服務帳戶或群組的名稱,然後選擇 [下一步]。

  7. Tasks to Delegate (要委派的任務) 頁面上,選擇 Create a custom task to delegate (建立要委派的自訂任務),然後選擇 Next (下一步)

  8. 選擇資料夾中的 [只有下列物件],然後選擇 [電腦物件]。

  9. 選擇在此資料夾中建立選取的物件,然後選擇刪除此資料夾中的選取物 然後選擇下一步

  10. 對於「權限」,請選擇下列項目:

    • 重設密碼

    • 讀取和寫入帳戶限制

    • 已驗證寫入 DNS 主機名稱

    • 已驗證的寫入服務主要名稱

  11. 選擇 Next (下一步),然後選擇 Finish (完成)。

  12. 關閉使用中目錄使用者和電腦 MMC 嵌入式管理單元。

使用進階功能指派權限
  1. 以您的作用中目錄網域的網域系統管理員身分登入您的系統。

  2. 開啟使用中目錄使用者和電腦 MMC 嵌入式管理單元。

  3. 從功能表列選取 [檢視],並確定已啟用 [進階功能] (如果啟用此功能,旁邊會出現核取記號)。

  4. 在工作窗格中,展開網域節點。

  5. 找出並開啟 (按一下滑鼠右鍵) 您要修改之 OU 的內容功能表,然後選擇 [內]。

  6. 在 [OU 內容] 窗格中,選取 [安全性] 索引標籤。

  7. 在「安全性」標籤中,選取「進階」。然後選取 [新增]。

  8. 權限輸入頁面上,選擇選取主體,然後輸入 Amazon FSx 服務帳戶或群組的名稱。針對「套用至:」,選擇「子系電腦」物件。請確定已選取下列項目:

    • 修改權限

    • 建立電腦物件

    • 刪除電腦物件

  9. 選取 [套用],然後選取 [確定]

  10. 關閉使用中目錄使用者和電腦 MMC 嵌入式管理單元。

重要

建立檔案系統之後,請勿移動 Amazon FSx 在 OU 中建立的電腦物件。這樣做會導致您的檔案系統設定錯誤。如果您使用新的服務帳戶更新檔案系統,請確定新的服務帳戶具有與檔案系統相關聯之現有電腦物件的「完全控制」權限。

保持您的活動目錄配置更新

為了確保 Amazon FSx 檔案系統的持續不中斷可用性,您需要在變更自我管理的 Active Directory 設定時更新檔案系統的 Active Directory 組態。

例如,如果您的 Active Directory 使用以時間為基礎的密碼重設政策,一旦密碼重設,請務必使用 Amazon FSx 更新服務帳戶密碼。同樣地,如果您的作用中目錄網域的 DNS 伺服器 IP 位址變更,一旦發生變更,請使用 Amazon FSx 更新 DNS 伺服器 IP 位址。如需詳細資訊,請參閱 更新自我管理的作用中目錄組態

當您更新 Amazon FSx 檔案系統的自我管理 Active Directory 組態時,套用更新時,檔案系統的狀態會從 [可用] 切換到 [新]。在套用更新之後,確認狀態切換回 [用] — 請注意,更新可能需要數分鐘才能完成。如需詳細資訊,請參閱 監視自我管理作用中目錄更新

如果更新的自我管理 Active Directory 組態發生問題,檔案系統狀態會切換為 [設定錯誤]。此狀態會在主控台、API 和 CLI 中的檔案系統說明旁顯示錯誤訊息和建議的更正動作。採取建議的更正動作之後,請確認檔案系統的狀態最終變更為「可用」。

若要深入了解疑難排解可能的自我管理 Active Directory 錯誤設定,請參閱。檔案系統處於錯誤設定的狀態

使用安全群組限制 VPC 內的流量

若要限制虛擬私有雲 (VPC) 中的網路流量,您可以在 VPC 中實作最低權限原則。換句話說,您可以將權限限制為必要的最低權限。若要這麼做,請使用安全性群組規則。如需進一步了解,請參閱 Amazon VPC 安全群組

為檔案系統的網路介面建立輸出安全性群組規則

為了提高安全性,請考慮使用輸出流量規則設定安全群組。這些規則應該只允許輸出流量到您自我管理的 Microsoft Active Directory 網域控制站或子網路或安全性群組內。將此安全群組套用至與 Amazon FSx 檔案系統 elastic network interface 相關聯的 VPC。如需進一步了解,請參閱使用亞馬遜 VPC 進行檔案系統存取控制