更改 Amazon FSx 服务账户 - FSx 适用于 Windows 文件服务器的亚马逊
配置域控制器的组策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更改 Amazon FSx 服务账户

如果您使用新服务账户更新文件系统,新服务账户必须拥有加入 Active Directory 的所需权限和特权,并对与文件系统关联的现有计算机对象拥有完全控制权限。此外,确保新的服务账户属于启用了组策略设置域控制器:允许在域加入期间重复使用计算机账户的受信任账户的一部分。

我们强烈建议使用 Active Directory 组管理与服务账户关联的 Active Directory 权限和配置。

更改 Amazon 的服务账户时 FSx,请确保服务账户具有以下设置:

  • 新的服务账户(或其所属的 Active Directory 组)对与文件系统关联的现有计算机对象拥有完全控制权限。

  • 新服务账户和以前的服务账户(或其所属的 Active Directory 组)是受信任账户(或受信任的 Active Directory 组)的一部分,并在 Active Directory 中的所有域控制器上启用了域控制器:允许在域加入期间重复使用计算机账户的组策略设置。

如果服务账户不满足这些要求,可能会出现以下情况:

  • 对于单可用区文件系统,文件系统可能会变为 MISCONFIGURED_UNAVAILABLE

  • 对于多可用区文件系统,文件系统可能会配置错误,并且 RemotePowerShell 端点名称可能会更改。

配置域控制器的组策略

以下 Microsoft 推荐过程描述了如何使用域控制器组策略来配置允许列表策略。

配置域控制器的允许列表策略

  1. 在自行管理的 Microsoft Active Directory 中的所有成员计算机和域控制器上安装 2023 年 9 月 12 日或之后版本的 Microsoft Windows 更新。

  2. 在适用于自行管理的 Active Directory 中所有域控制器的新组策略或现有组策略中,配置以下设置。

    1. 导航到计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项

    2. 双击域控制器:允许在域加入期间重复使用计算机账户

    3. 选择定义此策略设置和 <编辑安全 ...>

    4. 使用对象选择器将用户或受信任的计算机账户创建者和拥有者组添加至允许权限。(作为最佳实践,我们强烈建议使用群组获取权限。) 请勿添加执行域加入的用户账户。

      警告

      将策略的成员资格限制为受信任用户和服务账户。请勿将经过身份验证的用户、所有人或其他大型群组添加至此策略。相反,应将特定的受信任用户和服务账户添加至群组,然后将这些群组添加至策略。

  3. 在组策略刷新间隔内等待或在所有域控制器上运行 gpupdate /force

  4. 验证 HKLM\ System\ CCS\ Control\ SAM — “ComputerAccountReuseAllowList” 注册表项是否填充了所需的 SDDL。请勿手动编辑注册表

  5. 尝试加入一台安装了 2023 年 9 月 12 日或更高版本更新的计算机。确保策略中列出的其中一个账户拥有该计算机账户。还要确保其注册表未启用该NetJoinLegacyAccountReuse密钥(设置为 1)。如果域加入失败,请查看 c:\windows\debug\netsetup.log