本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 编辑网关的 SMB 设置
编辑网关 SMB 设置

借助网关级 SMB 设置，您可为网关上的 SMB 文件共享配置安全策略、Active Directory 身份验证、来宾访问、本地组权限以及文件共享可见性。

**编辑网关级 SMB 设置**

1. 在[https://console.aws.amazon.com/storagegateway/家](https://console.amazonaws.cn/storagegateway/)中打开 Storage Gateway 控制台。

1. 选择**网关**，然后选择要编辑其 S​​MB 设置的网关。

1. 从**操作**下拉菜单中，选择**编辑 SMB 设置**，然后选择要编辑的设置。

本节包含以下主题，这些主题介绍与配置网关的每个 SMB 设置相关的额外信息和程序。

**主题**
+ [设置网关安全级别](security-strategy.md)：了解如何设置安全级别以指定连接要求，例如服务器消息块（SMB）签名和加密，以及是否允许来自 SMB 版本 1 客户端的连接。
+ [配置 Active Directory 身份验证](enable-ad-settings.md)-了解如何配置企业活动目录或 Amazon 托管 Microsoft AD，以便用户通过身份验证访问您的 SMB 文件共享。
+ [向来宾提供访问权限](guest-access.md)：了解如何将网关配置为允许任何提供正确来宾账户用户名和密码的用户进行来宾访问。
+ [配置本地组](local-group-settings.md)：了解如何配置本地组以向 Active Directory 用户授予特殊文件共享权限。
+ [设置文件共享可见性](file-share-visibility.md)：了解在向用户列出共享时如何指定网关上的共享是否可见。

# 设置网关的安全级别
设置网关安全级别

通过使用 S3 文件网关，您可以指定网关的安全级别。通过指定此安全级别，您可以设置网关是否需要服务器消息块（SMB）签名或 SMB 加密，或者您是否要允许使用 SMB 版本 1。

**配置安全级别**

1. 在[https://console.aws.amazon.com/storagegateway/家](https://console.amazonaws.cn/storagegateway/)中打开 Storage Gateway 控制台。

1. 选择**网关**，然后选择要编辑其 S​​MB 设置的网关。

1. 从**操作**下拉菜单中，选择**编辑 SMB 设置**，然后选择 **SMB 安全设置**。

1. 对于 **Security level (安全级别)**，请选择下列选项之一：
**注意**  
有关使用 API 配置此设置的信息，请参阅 Amazon AP *Amazon Storage Gateway I 参考*中的[更新SMBSecurity策略](https://docs.amazonaws.cn/storagegateway/latest/APIReference/API_UpdateSMBSecurityStrategy.html)。  
较高的安全策略级别可能会影响网关的性能。
   + **强制 AES256 加密**-如果选择此选项，则 S3 文件网关仅允许来自使用 256 位 AES 加密算法的 SMBv3客户端的连接。不允许 128 位算法。对于处理敏感数据的环境，建议使用此选项。该选项适用于 Microsoft Windows 上的所有当前 SMB 客户端。
   + **强制加密**-如果选择此选项，则 S3 文件网关仅允许来自已开启加密的 SMBv3 客户端的连接。允许 256 位和 128 位算法。对于处理敏感数据的环境，建议使用此选项。该选项适用于 Microsoft Windows 上的所有当前 SMB 客户端。
   + **强制签名**-如果选择此选项，则 S3 文件网关仅允许来自 SMBv2 或已开启签名的 SMBv3 客户端的连接。此选项适用于 Microsoft Windows 上的所有当前 SMB 客户端。
   + **客户端协商**：如果选择此选项，则将根据客户端协商的内容建立请求。当您希望更大程度地提高环境中的各个客户端之间的兼容性时，建议使用此选项。
**注意**  
对于 2019 年 6 月 20 日之前激活的网关，默认安全级别为 **Client negotiated (客户端协商)**。  
对于 2019 年 6 月 20 日及以后激活的网关，默认安全级别为 **Enforce encryption (强制加密)**。

1. 选择**保存**。

# 使用 Active Directory 对用户进行身份验证
配置 Active Directory 身份验证

要使用您的企业活动目录或 Amazon Managed Microsoft AD 让用户通过身份验证访问您的 SMB 文件共享，请使用您的 Microsoft AD 域凭据编辑网关的 SMB 设置。这样做可以使网关加入 Active Directory 域并允许该域的成员访问 SMB 文件共享。

**注意**  
使用 Amazon Directory Service，您可以在中创建托管的 Active Directory 域服务 Amazon Web Services 云。  
要 Amazon Managed Microsoft AD 与 Amazon EC2 网关一起使用，您必须在与相同的 VPC 中创建 Amazon EC2 实例 Amazon Managed Microsoft AD，将 \$1workspaceMembers 安全组添加到 Amazon EC2 实例，然后使用中的管理员证书加入 AD 域。 Amazon Managed Microsoft AD  
有关的更多信息 Amazon Managed Microsoft AD，请参阅《[https://docs.amazonaws.cn/directoryservice/latest/admin-guide/directory_microsoft_ad.html](https://docs.amazonaws.cn/directoryservice/latest/admin-guide/directory_microsoft_ad.html)。  
有关 Amazon EC2 的更多信息，请参阅 [https://docs.amazonaws.cn/ec2/](https://docs.amazonaws.cn/ec2/)。

您也可以在 SMB 文件共享上激活访问控制列表 (ACLs)。有关如何激活的信息 ACLs，请参阅[使用 Windows ACLs 限制 SMB 文件共享访问权限](smb-acl.md)。

**开启 Active Directory 身份验证**

1. 在[https://console.aws.amazon.com/storagegateway/家](https://console.amazonaws.cn/storagegateway/)中打开 Storage Gateway 控制台。

1. 选择**网关**，然后选择要编辑其 S​​MB 设置的网关。

1. 从**操作**下拉菜单中，选择**编辑 SMB 设置**，然后选择**Active Directory 设置**。

1. 在**域名**中，输入您希望网关加入的 Active Directory 域的名称。
**注意**  
当网关从未加入域时，**Active Directory status (Active Directory 状态)** 显示 **Detached (已分离)**。  
您的 Active Directory 服务账户必须具有必要的权限。有关更多信息，请参阅 [Active Directory 服务账户权限要求](https://docs.amazonaws.cn/filegateway/latest/files3/ad-serviceaccount-permissions.html)。  
加入域会在默认计算机容器（不是 OU）中创建一个 Active Directory 计算机账户，并使用网关的**网关 ID** 作为账户名（例如，SGW-1234ADE）。此账户的名称无法自定义。  
如果您的 Active Directory 环境要求您预先创建账户以简化加入域的流程，则需要提前创建此账户。  
如果您的 Active Directory 环境为新的计算机对象指定了 OU，则在加入域时必须指定该 OU。  
如果您的网关无法加入 Active Directory 目录，请尝试使用 [JoinDomain](https://docs.amazonaws.cn/storagegateway/latest/APIReference/API_JoinDomain.html)API 操作使用该目录的 IP 地址加入。

1. 在**域用户**和**域密码**中，输入网关用于加入域的 Active Directory 服务账户的凭证。

1. （可选）对于**组织单元（OU）**，输入您的 Active Directory 用于新计算机对象的指定 OU。

1. （可选）对于**域控制器 (DC)**，输入您的网关将 DCs 通过其连接到 Active Directory 的一个或多个控制器的名称。您可以以逗号分隔 DCs 列表的形式输入多个列表。您可以将此字段留空以允许 DNS 自动选择 DC。

1. 选择**保存更改**。

**将文件共享访问权限限制到特定 AD 用户和组**

1. 在 Storage Gateway 控制台中，选择要限制访问的文件共享。

1. 从**操作**下拉菜单中，选择**编辑文件共享访问设置**。

1. 在**用户和组文件共享访问**部分，选择您的设置。

   对于**允许的用户和组**，选择**添加允许的用户**或**添加允许的组**，然后输入要允许文件共享访问的 AD 用户或组。重复此过程以允许所需数量的用户和组。

   对于**拒绝的用户和组**，选择**添加拒绝的用户**或**添加拒绝的组**，然后输入要拒绝文件共享访问的 AD 用户或组。重复此过程以根据需要拒绝所需数量的用户和组。
**注意**  
仅当已选择 **Active Directory** 时，**用户和组文件共享访问**部分才会出现。  
组必须以 `@` 字符为前缀。可接受的格式包括：`DOMAIN\User1`、`user1`、`@group1` 和 `@DOMAIN\group1`。  
如果您配置了**允许和拒绝的用户和组**列表，则 Windows ACLs 将不会授予覆盖这些列表的任何访问权限。  
之前会评估 “**允许的用户和组” 和 “拒绝**的用户和组” 列表 ACLs，并控制哪些用户可以装载或访问文件共享。如果任何用户或组被添加到**允许**列表中，则该列表被视为处于激活状态，只有这些用户才能挂载文件共享。  
用户挂载文件共享 ACLs 后，请提供更精细的保护，控制用户可以访问哪些特定文件或文件夹。有关更多信息，请参阅[在新的 SMB 文件共享 ACLs 上激活 Windows](https://docs.amazonaws.cn/filegateway/latest/files3/smb-acl.html#enable-acl-new-fileshare)。

1. 完成添加条目后，选择**保存**。



# 向来宾提供对文件共享的访问权限
向来宾提供访问权限

您可以将 S3 文件网关配置为允许任何能够提供正确来宾账户用户名和密码的用户进行来宾访问。如果您希望这是用户访问您的文件网关的唯一方法，则无需将网关加入到 Microsoft Active Directory 域。您也可以使用这种来宾访问方法在作为 Active Directory 域成员的 S3 文件网关中创建文件共享。

将文件共享配置为使用**来宾访问**身份验证方法时，来宾访问用户名为 `smbguest`。在使用来宾访问创建文件共享之前，您需要为 `smbguest` 用户更改默认密码。

您可以按照以下程序更改来宾用户 `smbguest` 的密码。

**更改来宾访问密码**

1. 在[https://console.aws.amazon.com/storagegateway/家](https://console.amazonaws.cn/storagegateway/)中打开 Storage Gateway 控制台。

1. 从控制台页面左侧的导航窗格中选择**网关**，然后选择要为其提供来宾访问的网关的**名称**。

1. 从**操作**下拉菜单中，选择**编辑 SMB 设置**，然后选择**来宾访问设置**。

1. 在**来宾密码**中，输入要设置的来宾访问密码，然后选择**保存更改**。

# 为网关配置本地组
配置本地组

借助本地组设置，您可以向 Active Directory 用户或组授予对网关上的 SMB 文件共享的特殊权限。

您可以使用本地组设置来分配网关管理员权限。网关管理员可以使用 Microsoft 管理控制台中的共享文件夹管理单元强制关闭处于打开及锁定状态的文件。

**注意**  
您必须至少添加一个网关管理员用户或组，然后才能将网关加入到 Active Directory 域。

**分配网关管理员**

1. 在[https://console.aws.amazon.com/storagegateway/家](https://console.amazonaws.cn/storagegateway/)中打开 Storage Gateway 控制台。

1. 选择**网关**，然后选择要编辑其 S​​MB 设置的网关。

1. 从**操作**下拉菜单中，选择**编辑 SMB 设置**，然后选择**本地组设置**。

1. 在**本地组设置**部分，选择您的设置。此部分仅显示使用 Active Directory 的文件共享。

   对于**网关管理员**，请添加要授予本地网关管理员权限的 Active Directory 用户和组。每行添加一个用户或组，包括域名。例如 **corp\$1Domain Admins**。要创建额外行，请选择**添加新的网关管理员**。
**注意**  
编辑网关管理员会断开连接并重新连接所有 SMB 文件共享。

1. 选择**保存更改**，然后选择**继续**以确认收到出现的警告消息。

# 设置文件共享可见性


文件共享可见性控制向用户列出共享（例如以网络视图或浏览列表显示）时网关上的共享是否可见。如果网关上的文件共享可见，则在客户端知道网关 IP 地址或 DNS 名称时，可以使用文件浏览器轻松发现共享。如果文件共享不可见，则除了网关 IP 或 DNS 名称之外，客户端还需要知道文件共享名称才能发现共享。

**注意**  
此设置不是保护部署中文件共享访问权限的有效方法。为了安全起见，建议配置权限来限制对特定用户和组的访问。有关说明，请参阅[限制用户和组对 SMB 文件共享的访问](https://docs.amazonaws.cn/filegateway/latest/files3/edit-file-share-access-smb.html)。

**设置文件共享可见性**

1. 在[https://console.aws.amazon.com/storagegateway/家](https://console.amazonaws.cn/storagegateway/)中打开 Storage Gateway 控制台。

1. 选择**网关**，然后选择要编辑其 S​​MB 设置的网关。

1. 从**操作**下拉菜单中，选择**编辑 SMB 设置**，然后选择**文件共享可见性设置**。

1. 对于**可见性状态**，如果您希望在网关向用户列出共享时显示此网关上的共享，请选中该复选框。如果您不希望在网关向用户列出共享时显示此网关上的共享，请取消选中该复选框。