使用组策略对象强制执行 Kerberos 身份验证 () GPOs - FSx适用于 Windows 文件服务器的亚马逊
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用组策略对象强制执行 Kerberos 身份验证 () GPOs

通过在 Active Directory 中设置以下组策略对象 (GPOs),可以在访问文件系统时强制执行 Kerberos 身份验证:

  • 限制NTLM:到远程服务器的传出NTLM流量-使用此策略设置可以拒绝或审计从计算机到运行 Windows 操作系统的任何远程服务器的传出NTLM流量。

  • 限制NTLM:为NTLM身份验证添加远程服务器例外情况-使用此策略设置创建远程服务器的例外列表,前提是配置了网络安全:限制NTLM:传出到远程服务器的NTLM流量策略设置,则允许客户端设备使用NTLM身份验证。

  1. 以管理员身份登录已加入活动目录的 Windows 实例,您的亚马逊FSx文件系统已加入该目录。如果您正在配置自行管理的 Active Directory,请将这些步骤直接应用于 Active Directory。

  2. 依次选择开始管理工具组策略管理

  3. 选择组策略对象

  4. 若不存在组策略对象,请执行创建操作。

  5. 找到现有的 “网络安全:限制NTLM:传出到远程服务器的NTLM流量” 策略。(若不存在现有策略,请创建新策略。) 在本地安全设置选项卡中,打开上下文(右键单击)菜单,然后选择属性

  6. 选择全部拒绝

  7. 选择应用即可应用设置。

  8. 要为客户机与特定远程服务器的NTLM连接设置例外,请找到网络安全:限制NTLM:添加远程服务器例外

    本地安全设置选项卡中,打开上下文(右键单击)菜单,然后选择属性

  9. 输入所有要添加到例外列表的服务器的名称。

  10. 选择应用即可应用设置。