将 FSx for Windows File Server 文件系统加入自行管理的 Microsoft Active Directory 域的最佳实践 - Amazon FSx for Windows File Server
向 Amazon FSx 服务账户委派权限 更新您的活动目录配置使用安全组限制 VPC 内的流量为文件系统的网络接口创建出站安全组规则
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 FSx for Windows File Server 文件系统加入自行管理的 Microsoft Active Directory 域的最佳实践

我们建议在将 Amazon FSx for Windows File Server 文件系统加入自行管理的 Microsoft Active Directory 时实施以下最佳实践。

向 Amazon FSx 服务账户委派权限

请务必为 Amazon FSx 服务账户配置必要的最低权限。此外,将组织单位(OU)与其他域控制器问题分割开。

要将 Amazon FSx 文件系统加入您的域,请确保服务账户具有委派的权限。域管理员组的成员具有足够执行此任务的权限。但是,作为最佳实践,请使用仅具有此任务的最低执行权限的服务账户。以下过程演示如何仅将加入 Amazon FSx 文件系统所需的权限委派到您的域中。

您可以使用 A ctive Directory 用户和计算机 MMC 管理单元中的委托控制高级功能来分配这些权限。

在已加入活动目录并安装了Active Directory User and Computers MMC管理单元的计算机上执行以下任一过程。

使用委派控制向服务帐号或群组分配权限

  1. 以 Active Directory 域的域管理员身份登录系统。

  2. 打开 Active Directory User and Computers MMC 管理单元。

  3. 在任务窗格中,展开域节点。

  4. 找到并打开您要修改的 OU 的上下文(右键单击)菜单,然后选择委派控制

  5. 控制委派向导页面上,选择下一步

  6. 选择添加,添加您的 Amazon FSx 服务账户或群组名称,然后选择下一步

  7. Tasks to Delegate (要委派的任务) 页面上,选择 Create a custom task to delegate (创建要委派的自定义任务),然后选择 Next (下一步)。

  8. 选择仅文件夹中的以下对象,然后选择计算机对象

  9. 选择在此文件夹中创建选定对象删除此文件夹中的选定对象。然后选择下一步

  10. 权限中,请选择以下选项:

    • 重置密码

    • 读取和写入账户限制

    • 已验证写入 DNS 主机名

    • 已验证写入服务主体名称

  11. 选择下一步,然后选择完成

  12. 关闭 Active Directory User and Computers MMC 管理单元。

使用高级功能分配权限

  1. 以 Active Directory 域的域管理员身份登录系统。

  2. 打开 Active Directory User and Computers MMC 管理单元。

  3. 从菜单栏中选择查看,并确保已启用高级功能(如果启用了该功能,则旁边会显示一个对勾标记)。

  4. 在任务窗格中,展开域节点。

  5. 找到并打开您要修改的 OU 的上下文菜单(右键单击),然后选择属性

  6. OU 属性窗格中,选择安全选项卡。

  7. 安全选项卡上,选择高级。然后选择添加

  8. 权限条目页面上,选择选择主体,然后输入您的 Amazon FSx 服务账户或群组的名称。对于 “应用于:”,选择 “后代计算机对象”。请确保选择了以下权限:

    • 修改权限

    • 创建计算机对象

    • 删除计算机对象

  9. 选择应用,然后选择确定

  10. 关闭 Active Directory User and Computers MMC 管理单元。

重要

创建文件系统后,请勿移动 Amazon FSx 在 OU 中创建的计算机对象。这样做会导致您的文件系统配置错误。如果您使用新服务账户更新文件系统,请确保新服务账户对与文件系统关联的现有计算机对象具有完全控制权限。

更新您的活动目录配置

为了帮助确保您的 Amazon FSx 文件系统持续、不间断地可用,您需要在更改自行管理的 Active Directory 设置时随时更新文件系统的活动目录配置。

例如,如果您的 Active Directory 使用基于时间的密码重置策略,则在密码重置后,请务必使用 Amazon FSx 更新服务账户密码。同样,如果您的 Active Directory 域的 DNS 服务器 IP 地址发生变化,请在更改发生后立即使用 Amazon FSx 更新 DNS 服务器 IP 地址。有关更多信息,请参阅 更新自行管理的 Active Directory 配置

更新 Amazon FSx 文件系统的自行管理的 Active Directory 配置时,在应用更新时,文件系统的状态会从可用切换为正在更新。验证状态是否在应用更新后切换回可用 – 请注意,更新可能需要几分钟时间才能完成。有关更多信息,请参阅 监控自行管理的 Active Directory 更新

如果自行管理的 Active Directory 配置在更新后出现问题,则文件系统状态会切换为错误配置。在此状态下,控制台、API 和 CLI 中的文件系统描述旁边显示错误消息和建议的更正措施。采取建议的更正措施后,请验证文件系统的状态是否最终变为可用

要了解有关排查可能存在的自行管理的 Active Directory 错误配置问题的更多信息,请参阅文件系统处于配置错误状态

使用安全组限制 VPC 内的流量

要限制虚拟私有云(VPC)内的网络流量,您可以在 VPC 中实施最低权限原则。换言之,您可以将权限限制为所需的最低权限。为此,请使用安全组规则。要了解更多信息,请参阅Amazon VPC 安全组

为文件系统的网络接口创建出站安全组规则

为提高安全性,请考虑使用出站流量规则来配置安全组。这些规则应仅允许出站流量流向自行管理的 Active Directory 域控制器或子网或安全组内部。将此安全组应用于与您的 Amazon FSx 文件系统的弹性网络接口关联的 VPC。要了解更多信息,请参阅使用 Amazon VPC 进行文件系统访问控制