本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用组策略对象强制执行 Kerberos 身份验证 () GPOs
通过在 Active Directory 中设置以下组策略对象 (GPOs),可以在访问文件系统时强制执行 Kerberos 身份验证:
限制NTLM:到远程服务器的传出NTLM流量-使用此策略设置可以拒绝或审计从计算机到运行 Windows 操作系统的任何远程服务器的传出NTLM流量。
限制NTLM:为NTLM身份验证添加远程服务器例外情况-使用此策略设置创建远程服务器的例外列表,前提是配置了网络安全:限制NTLM:传出到远程服务器的NTLM流量策略设置,则允许客户端设备使用NTLM身份验证。
以管理员身份登录已加入活动目录的 Windows 实例,您的亚马逊FSx文件系统已加入该目录。如果您正在配置自行管理的 Active Directory,请将这些步骤直接应用于 Active Directory。
依次选择开始、管理工具、组策略管理。
选择组策略对象。
若不存在组策略对象,请执行创建操作。
找到现有的 “网络安全:限制NTLM:传出到远程服务器的NTLM流量” 策略。(若不存在现有策略,请创建新策略。) 在本地安全设置选项卡中,打开上下文(右键单击)菜单,然后选择属性。
选择全部拒绝。
选择应用即可应用设置。
要为客户机与特定远程服务器的NTLM连接设置例外,请找到网络安全:限制NTLM:添加远程服务器例外。
在本地安全设置选项卡中,打开上下文(右键单击)菜单,然后选择属性。
输入所有要添加到例外列表的服务器的名称。
选择应用即可应用设置。