将适用于 Windows File Server 文件系统的 FSx 加入自我管理的微软 Active Directory 域的最佳做法 - Amazon FSx for Windows File Server
向您的亚马逊 FSx 服务账户委派权限 使用亚马逊 FSx 更新您的活动目录配置使用安全组限制您的 VPC 内的流量为文件系统的网络接口创建出站安全组规则
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将适用于 Windows File Server 文件系统的 FSx 加入自我管理的微软 Active Directory 域的最佳做法

在将适用于 Windows File Server 的 Amazon FSx 文件系统加入你自己管理的微软 Active Directory 时,我们推荐这些最佳实践。

向您的亚马逊 FSx 服务账户委派权限

请务必将您提供给 Amazon FSx 的服务账户配置为所需的最低权限。此外,将组织单位 (OU) 与其他域控制器问题分开。

要将 Amazon FSx 文件系统加入您的域,请确保服务账户具有委派权限。域管理员组的成员有足够的权限来执行此任务。但是,作为最佳实践,请使用仅具有执行此操作所需的最低权限的服务帐户。以下过程演示如何仅将加入 Amazon FSx 文件系统所需的权限委派到您的域中。

在已加入您的目录并安装了 Active Directory 用户和计算机 MMC 管理单元的计算机上执行此过程。

为服务帐号或群组分配权限

  1. 确保您以 Active Directory 域的域管理员身份登录。

  2. 打开 Active Directory 用户和计算机 MMC 管理单元。

  3. 使用delegate control以下方法分配权限:

    • 在任务窗格中,展开域节点。

    • 找到并打开要修改的 OU 的上下文(右键单击)菜单,然后选择 “委托控制”。

    • 控制委派向导页面上,选择下一步

    • 选择 “添加” 以添加您的 Amazon FSx 服务账户或群组的名称,然后选择 “下一步”。

    • Tasks to Delegate (要委派的任务) 页面上,选择 Create a custom task to delegate (创建要委派的自定义任务),然后选择 Next (下一步)。

    • 文件夹中选择 “仅限以下对象”,然后选择 “计算机对象”。

    • 选择 “在此文件夹中创建选定对象” 和 “删除此文件夹中的选定对象”。然后选择下一步

    • 对于 “权限”,请选择以下选项:

      • 重置密码

      • 读写账户限制

      • 已验证写入 DNS 主机名

      • 已验证写入服务主体名称

    • 选择下一步,然后选择完成

  4. 使用高级功能分配权限:

    • 从菜单栏中选择 “查看”,并确保已启用 “高级功能”(如果启用了该功能,则旁边会出现一个复选标记)。

    • 在任务窗格中,展开域节点。

    • 找到并打开(右键单击)要修改的 OU 的上下文菜单,然后选择 “属性”。

    • OU 属性窗格中,选择安全选项卡。

    • 在 “安全” 选项卡中,选择 “高级”。然后选择 “添加”。

    • 在 “权限输入” 页面上,选择 “选择委托人”,然后输入您的 Amazon FSx 服务账户或群组的名称。对于 “应用于:”,选择 “此对象和所有后代对象”。确保选择了以下各项:

      • 修改权限

      • 创建计算机对象

      • 删除计算机对象

    • 选择 “应用”,然后选择 “确定”

  5. 关闭 Active Directory 用户和计算机 MMC 管理单元。

重要

创建文件系统后,请勿移动 Amazon FSx 在 OU 中创建的计算机对象。这样做会导致您的文件系统配置错误。如果您使用新的服务帐户更新文件系统,请确保新的服务帐户对与文件系统关联的现有计算机对象具有完全控制权限。

使用亚马逊 FSx 更新您的活动目录配置

为了帮助确保 Amazon FSx 文件系统持续、不间断地可用,请在更改自行管理的 Active Directory 设置时随时更新文件系统的自我管理的 Active Directory 配置。

例如,假设您的 Active Directory 使用基于时间的密码重置策略。在这种情况下,密码重置后,请务必使用 Amazon FSx 更新服务账户密码。为此,请使用亚马逊 FSx 控制台、亚马逊 FSx API 或。Amazon CLI同样,如果您的 Active Directory 域的 DNS 服务器 IP 地址发生变化,则在更改发生后,请立即使用 Amazon FSx 更新 DNS 服务器 IP 地址。同样,使用亚马逊 FSx 控制台、API 或 CLI 执行此操作。

当您更新 Amazon FSx 文件系统的自我管理的 Active Directory 配置时,在应用更新时,文件系统的状态会 “可用” 切换 “正在更新”。验证应用更新后状态是否切换回 “用” — 请注意,更新可能需要几分钟才能完成。有关更多信息,请参阅更新自行管理的活动目录配置

如果更新后的自管理 Active Directory 配置出现问题,则文件系统状态会切换为 “配置错误”。此状态在控制台、API 和 CLI 中的文件系统描述旁边显示错误消息和建议的更正措施。采取建议的更正措施后,请验证文件系统的状态最终是否更改为 “可”。

要详细了解如何解决可能存在的自行管理的 Active Directory 配置错误,请参阅。文件系统处于配置错误的状态

使用安全组限制您的 VPC 内的流量

要限制虚拟私有云 (VPC) 中的网络流量,您可以在 VPC 中实施最低权限原则。换句话说,您可以将权限限制为必要的最低权限。为此,请使用安全组规则。要了解更多信息,请参阅 Amazon VPC 安全组

为文件系统的网络接口创建出站安全组规则

为了提高安全性,可以考虑使用出站流量规则配置安全组。这些规则应仅允许流向自行管理的 Microsoft Active Directory 域控制器或子网或安全组内的出站流量。将此安全组应用于与您的 Amazon FSx 文件系统的弹性网络接口关联的 VPC。要了解更多信息,请参阅“使用亚马逊 VPC 进行文件系统访问控制”。