本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用组策略对象强制执行 Kerberos 身份验证 () GPOs 通过在 Active Directory 中设置以下组策略对象 (GPOs),可以在访问文件系统时强制执行 Kerberos 身份验证: + **限制 NTLM:向远程服务器传出 NTLM 流量** – 使用此策略设置拒绝或审计从计算机到运行 Windows 操作系统的任何远程服务器的传出 NTLM 流量。 + **限制 NTLM:为 NTLM 身份验证添加远程服务器例外**:如果配置了“网络安全:限制 NTLM:向远程服务器传出 NTLM 流量”**策略设置,则使用此策略设置创建允许客户端设备使用 NTLM 身份验证的远程服务器例外列表。 1. 以管理员身份登录已加入活动目录的 Windows 实例,您的亚马逊 FSx 文件系统已加入该目录。如果您正在配置自行管理的 Active Directory,请将这些步骤直接应用于 Active Directory。 1. 依次选择**开始**、**管理工具**、**组策略管理**。 1. 选择**组策略对象**。 1. 若不存在组策略对象,请执行创建操作。 1. 找到现有的**网络安全:限制 NTLM:向远程服务器传出 NTLM 流量**策略。(若不存在现有策略,请创建新策略。) 在**本地安全设置**选项卡中,打开上下文(右键单击)菜单,然后选择**属性**。 1. 选择**全部拒绝**。 1. 选择**应用**即可应用设置。 1. 要为客户端的特定远程服务器的 NTLM 连接设置例外,请找到**网络安全:限制 NTLM:添加远程服务器例外**。 在**本地安全设置**选项卡中,打开上下文(右键单击)菜单,然后选择**属性**。 1. 输入所有要添加到例外列表的服务器的名称。 1. 选择**应用**即可应用设置。