Procedure consigliate per l'utilizzo di Active Directory - FSx per ONTAP
Delega delle autorizzazioni al tuo account di servizio Amazon FSxMantieni aggiornata una configurazione ADLimita il traffico all'interno di VPC un gruppo di sicurezzaCreazione di regole per i gruppi di sicurezza in uscita

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Procedure consigliate per l'utilizzo di Active Directory

Ecco alcuni suggerimenti e linee guida da prendere in considerazione quando ti iscrivi NetApp ONTAP SVMs ad Amazon FSx per il tuo Microsoft Active Directory autogestito. Tieni presente che questi sono consigliati come best practice, ma non obbligatori.

Delega delle autorizzazioni al tuo account di servizio Amazon FSx

Assicurati di configurare l'account di servizio che fornisci ad Amazon FSx con le autorizzazioni minime richieste. Inoltre, separa l'unità organizzativa (OU) dagli altri problemi relativi ai controller di dominio.

Per aggiungere Amazon FSx SVMs al tuo dominio, assicurati che l'account del servizio disponga di autorizzazioni delegate. I membri del gruppo Domain Admins dispongono di autorizzazioni sufficienti per eseguire questa attività. Tuttavia, è consigliabile utilizzare un account di servizio che disponga solo delle autorizzazioni minime necessarie per eseguire questa operazione. La procedura seguente illustra come delegare solo le autorizzazioni necessarie FSx per ONTAP SVMs l'iscrizione al dominio.

Esegui questa procedura su un computer che fa parte della tua directory e su cui è installato lo snap-in Utenti e computer MMC di Active Directory.

Per creare un account di servizio per il tuo dominio Microsoft Active Directory

  1. Assicurati di aver effettuato l'accesso come amministratore di dominio per il tuo dominio Microsoft Active Directory.

  2. Apri lo MMC snap-in Utenti e computer di Active Directory.

  3. Nel riquadro attività, espandere il nodo del dominio.

  4. Individua e apri il menu contestuale (fai clic con il pulsante destro del mouse) per l'unità organizzativa che desideri modificare, quindi scegli Controllo delegato.

  5. Nella pagina Delegation of Control Wizard, scegli Avanti.

  6. Scegli Aggiungi per aggiungere un utente specifico o un gruppo specifico per Utenti e gruppi selezionati, quindi scegli Avanti.

  7. Nella pagina Tasks to Delegate (Operazioni da delegare), selezionare Create a custom task to delegate (Crea un'operazione personalizzata per eseguire la delega), quindi scegliere Next (Avanti).

  8. Scegli Solo i seguenti oggetti nella cartella, quindi scegli Oggetti del computer.

  9. Scegliete Crea oggetti selezionati in questa cartella e Elimina gli oggetti selezionati in questa cartella. Quindi scegli Successivo.

  10. In Mostra queste autorizzazioni, assicurati che siano selezionate Generale e Specifico della proprietà.

  11. Per Autorizzazioni, scegliete quanto segue:

    • Reimpostazione della password

    • Leggi e scrivi le restrizioni dell'account

    • Nome DNS host di scrittura convalidato

    • Nome principale del servizio di scrittura convalidato

    • Scrivi MSDs- SupportedEncryptionTypes

  12. Scegli Next (Avanti), quindi scegli Finish (Fine).

  13. Chiudere lo MMC snap-in Utenti e computer di Active Directory.

Importante

Non spostare oggetti informatici che Amazon FSx crea nell'unità organizzativa dopo la creazione SVMs dei tuoi. In questo modo potresti non SVMs essere configurato correttamente.

Mantenere aggiornata la configurazione di Active Directory con Amazon FSx

Per una disponibilità ininterrotta di Amazon FSxSVMs, aggiorna una configurazione SVM di Active Directory (AD) autogestita quando modifichi la configurazione di AD autogestita.

Ad esempio, supponiamo che il tuo AD utilizzi una politica di reimpostazione della password basata sul tempo. In questo caso, non appena la password viene reimpostata, assicurati di aggiornare la password dell'account del servizio con AmazonFSx. A tale scopo, usa la FSx console Amazon FSxAPI, Amazon o AWS CLI. Allo stesso modo, se gli indirizzi IP del DNS server per il tuo dominio Active Directory cambiano, non appena si verifica la modifica aggiorna gli indirizzi IP del DNS server con AmazonFSx.

Se c'è un problema con la configurazione AD autogestita aggiornata, lo SVM stato passa a Misconfiguration. Questo stato mostra un messaggio di errore e un'azione consigliata accanto alla SVM descrizione nella console, API e. CLI Se si verifica un problema con SVM la tua configurazione AD, assicurati di adottare le azioni correttive consigliate per le proprietà di configurazione. Se il problema viene risolto, verifica che lo stato SVM del tuo account cambi in Creato.

Per ulteriori informazioni, consulta Aggiornamento delle configurazioni di SVM Active Directory esistenti utilizzando AWS Management ConsoleAWS CLI, e API e Modificare una configurazione di Active Directory utilizzando il ONTAP CLI.

Utilizzo dei gruppi di sicurezza per limitare il traffico all'interno del VPC

Per limitare il traffico di rete nel tuo cloud privato virtuale (VPC), puoi implementare il principio del privilegio minimo nel tuoVPC. In altre parole, puoi limitare le autorizzazioni al minimo necessario. A tale scopo, utilizzate le regole del gruppo di sicurezza. Per ulteriori informazioni, consulta Gruppi VPC di sicurezza Amazon.

Creazione di regole per i gruppi di sicurezza in uscita per l'interfaccia di rete del file system

Per una maggiore sicurezza, prendi in considerazione la configurazione di un gruppo di sicurezza con regole del traffico in uscita. Queste regole dovrebbero consentire il traffico in uscita solo verso i controller dei domini AD autogestiti o all'interno della sottorete o del gruppo di sicurezza. Applica questo gruppo di sicurezza all'interfaccia di rete elastica VPC associata al tuo FSx file system Amazon. Per ulteriori informazioni, consulta Controllo degli accessi ai file system con Amazon VPC.