使用组策略对象强制执行 Kerberos 身份验证 () GPOs - FSx 适用于 Windows 文件服务器的亚马逊
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用组策略对象强制执行 Kerberos 身份验证 () GPOs

通过在 Active Directory 中设置以下组策略对象 (GPOs),可以在访问文件系统时强制执行 Kerberos 身份验证:

  • 限制NTLM:到远程服务器的传出NTLM流量-使用此策略设置可以拒绝或审计从计算机到运行 Windows 操作系统的任何远程服务器的传出NTLM流量。

  • 限制NTLM:为NTLM身份验证添加远程服务器例外情况-使用此策略设置创建远程服务器的例外列表,前提是配置了网络安全:限制NTLM:传出到远程服务器的NTLM流量策略设置,则允许客户端设备使用NTLM身份验证。

  1. 以管理员身份登录已加入活动目录的 Windows 实例,您的亚马逊FSx文件系统已加入该目录。如果您正在配置自行管理的 Active Directory,请将这些步骤直接应用于 Active Directory。

  2. 依次选择开始管理工具组策略管理

  3. 选择组策略对象

  4. 若不存在组策略对象,请执行创建操作。

  5. 找到现有的 “网络安全:限制NTLM:传出到远程服务器的NTLM流量” 策略。(若不存在现有策略,请创建新策略。) 在本地安全设置选项卡中,打开上下文(右键单击)菜单,然后选择属性

  6. 选择全部拒绝

  7. 选择应用即可应用设置。

  8. 要为客户机与特定远程服务器的NTLM连接设置例外,请找到网络安全:限制NTLM:添加远程服务器例外

    本地安全设置选项卡中,打开上下文(右键单击)菜单,然后选择属性

  9. 输入所有要添加到例外列表的服务器的名称。

  10. 选择应用即可应用设置。