Praktik terbaik untuk bekerja dengan Active Directory - FSxuntuk ONTAP
Mendelegasikan izin ke akun layanan Amazon FSx AndaTetap perbarui konfigurasi ADBatasi lalu lintas dalam grup VPC dengan keamananMembuat aturan grup keamanan keluar

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk bekerja dengan Active Directory

Berikut adalah beberapa saran dan panduan yang harus Anda pertimbangkan saat bergabung dengan Amazon FSx NetApp ONTAP SVMs untuk Microsoft Active Directory yang dikelola sendiri. Perhatikan bahwa ini direkomendasikan sebagai praktik terbaik, tetapi tidak diwajibkan.

Mendelegasikan izin ke akun layanan Amazon FSx Anda

Pastikan untuk mengonfigurasi akun layanan yang Anda berikan ke Amazon FSx dengan izin minimum yang diperlukan. Selain itu, pisahkan Unit Organisasi (OU) dari masalah pengontrol domain lainnya.

Untuk bergabung dengan Amazon FSx SVMs ke domain Anda, pastikan akun layanan telah mendelegasikan izin. Anggota grup Admin Domain memiliki izin yang cukup untuk melakukan tugas ini. Namun, sebagai praktik terbaik, gunakan akun layanan yang hanya memiliki izin minimum yang diperlukan untuk melakukan ini. Prosedur berikut menunjukkan cara mendelegasikan hanya izin yang diperlukan FSx untuk bergabung ke domain ONTAP SVMs Anda.

Lakukan prosedur ini pada mesin yang bergabung dengan direktori Anda dan menginstal MMC snap-in Active Directory User and Computers.

Untuk membuat akun layanan untuk domain Microsoft Active Directory

  1. Pastikan Anda masuk sebagai administrator domain untuk domain Microsoft Active Directory Anda.

  2. Buka MMC snap-in Pengguna dan Komputer Direktori Aktif.

  3. Dalam panel tugas, perluas simpul domain.

  4. Temukan dan buka menu konteks (klik kanan) untuk OU yang ingin Anda ubah, lalu pilih Delegasikan Kontrol.

  5. Pada halaman Delegasi Control Wizard, pilih Selanjutnya.

  6. Pilih Tambahkan untuk menambahkan pengguna tertentu atau grup tertentu untuk Pengguna dan grup yang dipilih, lalu pilih Selanjutnya.

  7. Pada halaman Tugas untuk Didelegasikan, pilih Buat tugas kustom untuk didelegasikan, lalu pilih Selanjutnya.

  8. Pilih Hanya objek berikut dalam folder, lalu pilih Objek komputer.

  9. Pilih Buat objek yang dipilih dalam folder ini dan Hapus objek yang dipilih dalam folder ini. Lalu pilih Berikutnya.

  10. Di bawah Tampilkan izin ini, pastikan bahwa Umum dan Properti spesifik dipilih.

  11. Untuk Izin, pilih:

    • Setel Ulang Kata Sandi

    • Baca dan tulis Pembatasan Akun

    • Menulis ke nama DNS host yang divalidasi

    • Menulis tervalidasi ke nama utama layanan

    • Tulis MSDs- SupportedEncryptionTypes

  12. Pilih Selanjutnya, dan kemudian pilih Selesai.

  13. Tutup MMC snap-in Pengguna dan Komputer Direktori Aktif.

penting

Jangan pindahkan objek komputer yang FSx dibuat Amazon di OU setelah Anda SVMs dibuat. Melakukannya akan menyebabkan Anda SVMs menjadi salah konfigurasi.

Menjaga konfigurasi Direktori Aktif Anda diperbarui dengan Amazon FSx

Untuk ketersediaan Amazon yang tidak terputus FSxSVMs, perbarui konfigurasi Direktori Aktif (AD) yang dikelola sendiri saat Anda mengubah pengaturan AD yang dikelola sendiri. SVM

Misalnya, ketika AD Anda menggunakan kebijakan pengaturan ulang kata sandi berbasis waktu. Dalam hal ini, segera setelah kata sandi diatur ulang, pastikan untuk memperbarui kata sandi akun layanan dengan AmazonFSx. Untuk melakukan ini, gunakan FSx konsol Amazon, Amazon FSxAPI, atau AWS CLI. Demikian pula, jika alamat IP DNS server berubah untuk domain Active Directory Anda, segera setelah perubahan terjadi perbarui alamat IP DNS server dengan AmazonFSx.

Jika ada masalah dengan konfigurasi AD yang dikelola sendiri yang diperbarui, SVM status akan beralih ke Salah Konfigurasi. Status ini menampilkan pesan kesalahan dan tindakan yang disarankan di samping SVM deskripsi di konsol,API, danCLI. Jika terjadi masalah dengan konfigurasi AD AndaSVM, pastikan untuk mengambil tindakan korektif yang disarankan untuk properti konfigurasi. Jika masalah teratasi, verifikasi bahwa status Anda SVM berubah menjadi Dibuat.

Untuk informasi selengkapnya, silakan lihat Memperbarui konfigurasi SVM Active Directory yang ada menggunakan AWS Management Console, AWS CLI, dan API dan Memodifikasi konfigurasi Active Directory menggunakan ONTAP CLI.

Menggunakan grup keamanan untuk membatasi lalu lintas dalam VPC

Untuk membatasi lalu lintas jaringan di cloud pribadi virtual Anda (VPC), Anda dapat menerapkan prinsip hak istimewa paling sedikit di AndaVPC. Dengan kata lain, Anda dapat membatasi izin ke yang minimum yang diperlukan. Untuk melakukannya, gunakan aturan grup keamanan. Untuk mempelajari selengkapnya, lihat Grup VPC keamanan Amazon.

Membuat aturan grup keamanan keluar untuk antarmuka jaringan sistem file Anda

Untuk keamanan yang lebih besar, pertimbangkan untuk mengkonfigurasi grup keamanan dengan aturan lalu lintas keluar. Aturan ini harus mengizinkan lalu lintas keluar hanya ke pengontrol domain AD yang dikelola sendiri atau dalam subnet atau grup keamanan. Terapkan grup keamanan ini ke VPC yang terkait dengan elastic network interface sistem FSx file Amazon Anda. Untuk mempelajari informasi lebih lanjut, lihat Kontrol Akses Sistem File dengan Amazon VPC.