本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用活動目錄的最佳實踐
這裡有一些建議和指導方針,您應該考慮將 Amazon FSx 的 NetApp ONTAP SVM 加入您的自我管理的 Microsoft 活動目錄。請注意,這些建議作為最佳實踐,但不是必需的。
將許可委派給您的 Amazon FSx 服務帳戶
確保以所需的最低許可設定您提供給 Amazon FSx 的服務帳戶。此外,請將組織單位 (OU) 與其他網域控制站問題分開。
若要將 Amazon FSx SVM 加入您的網域,請確定服務帳戶已委派許可。網域管理員群組的成員擁有足夠的權限來執行此工作。不過,最佳作法是使用僅具有執行此操作所需最低權限的服務帳戶。下列程序示範如何僅將 FSx 的 ONTAP SVM 加入您的網域所需的權限委派給您的網域。
在已加入目錄且已安裝 Active Directory 使用者和電腦 MMC 嵌入式管理單元的電腦上執行此程序。
若要為您的 Microsoft 作用中目錄網域建立服務帳戶
請確定您已以網域系統管理員身分登入您的 Microsoft 作用中目錄網域。
-
開啟使用中目錄使用者和電腦 MMC 嵌入式管理單元。
在工作窗格中,展開網域節點。
-
找出並開啟您要修改之 OU 的內容 (按一下滑鼠右鍵) 功能表,然後選擇 [委派控制]。
-
在 [委派控制精靈] 頁面上,選擇 [下一步]。
-
選擇 [新增],為選取的使用者和群組新增特定使用者或特定群組,然後選擇 [下一步]。
-
在 Tasks to Delegate (要委派的任務) 頁面上,選擇 Create a custom task to delegate (建立要委派的自訂任務),然後選擇 Next (下一步)。
-
選擇資料夾中的 [只有下列物件],然後選擇 [電腦物件]。
-
選擇在此資料夾中建立選取的物件,然後選擇刪除此資料夾中的選取物 然後選擇 Next(下一步)。
-
在 [顯示這些權限] 下,確定已選取 [一般] 和 [特定屬性]。
-
對於「權限」,請選擇下列項目:
-
重設密碼
-
讀取和寫入帳戶限制
-
已驗證寫入 DNS 主機名稱
-
已驗證的寫入服務主要名稱
寫入 msDS-SupportedEncryptionTypes
-
-
選擇 Next (下一步),然後選擇 Finish (完成)。
-
關閉使用中目錄使用者和電腦 MMC 嵌入式管理單元。
重要
建立 SVM 之後,請勿移動 Amazon FSx 在 OU 中建立的電腦物件。這樣做會導致您的 SVM 配置錯誤。
使用 Amazon FSx 保持您的活動目錄配置更新
如需 Amazon FSx SVM 的不間斷可用性,請在變更自我管理 AD 設定時更新 SVM 的自我管理作用中目錄 (AD) 組態。
例如,假設您的 AD 使用以時間為基礎的密碼重設原則。在這種情況下,一旦密碼重設,請務必使用 Amazon FSx 更新服務帳戶密碼。若要這麼做,請使用 Amazon FSx 主控台、Amazon FSx API 或. AWS CLI 同樣地,如果您的作用中目錄網域的 DNS 伺服器 IP 位址變更,一旦發生變更,就會使用 Amazon FSx 更新 DNS 伺服器 IP 位址。
如果更新的自我管理 AD 組態發生問題,SVM 狀態會切換至 [設定錯誤]。此狀態會在主控台、API 和 CLI 中的 SVM 說明旁顯示錯誤訊息和建議的動作。如果 SVM 的 AD 組態發生問題,請務必針對組態屬性採取建議的更正動作。如果問題已解決,請確認 SVM 的狀態已變更為「已建立」。
如需詳細資訊,請參閱 使用 AWS Management Console、 AWS CLI和 API 更新現有的 SVM 使用中目錄組態 及 使用 ONTAP CLI 修改活動目錄配置。
使用安全群組限制 VPC 內的流量
若要限制虛擬私有雲 (VPC) 中的網路流量,您可以在 VPC 中實作最低權限原則。換句話說,您可以將權限限制為必要的最低權限。若要這麼做,請使用安全性群組規則。如需進一步了解,請參閱 Amazon VPC 安全群組。
為檔案系統的網路介面建立輸出安全性群組規則
為了提高安全性,請考慮使用輸出流量規則設定安全群組。這些規則應該只允許輸出流量到您自我管理的 AD 網域控制站或子網路或安全性群組內。將此安全群組套用至與 Amazon FSx 檔案系統 elastic network interface 相關聯的 VPC。如需進一步了解,請參閱使用 Amazon VPC 進行檔案系統存取控制。
