Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Usar Active Directory para autenticar usuarios
Para usar su Active Directory corporativo o AWS Managed Microsoft AD para el acceso autenticado por el usuario a su recurso compartido de archivos SMB, edite la configuración SMB de su puerta de enlace con sus credenciales de dominio de Microsoft AD. De este modo, la gateway puede unirse al dominio de Active Directory, lo que permite a los miembros del dominio tener acceso al recurso compartido de archivos SMB.
nota
Con él Directory Service, puede crear un servicio de dominio de Active Directory alojado en. Nube de AWS
Para utilizarla AWS Managed Microsoft AD con una EC2 puerta de enlace de Amazon, debe crear la EC2 instancia de Amazon en la misma VPC que la AWS Managed Microsoft AD, añadir el grupo de seguridad _WorkspaceMembers a la instancia de EC2 Amazon y unirse al dominio de AD con las credenciales de administrador de. AWS Managed Microsoft AD
Para obtener más información sobre Amazon EC2, consulte la documentación de Amazon Elastic Compute Cloud.
También puede activar las listas de control de acceso (ACLs) en su recurso compartido de archivos SMB. Para obtener información sobre cómo activarlas ACLs, consulteUso de Windows ACLs para limitar el acceso a los archivos compartidos en SMB.
Cómo activar la autenticación con Active Directory
Abra la consola Storage Gateway en https://console.aws.amazon.com/storagegateway/casa
. -
Elija Puertas de enlace y, a continuación, elija la puerta de enlace para la que desee editar los ajustes de SMB.
-
En el menú desplegable Acciones, elija Editar configuración de SMB y, a continuación, elija Configuración de Active Directory.
-
En el campo Nombre de dominio, introduzca el nombre de dominio de Active Directory al que desea que se una la puerta de enlace.
nota
Active Directory status (Estado de Active Directory) muestra Detached (Desvinculado) cuando una gateway no se ha unido nunca a un dominio.
Su cuenta de servicio de Active Directory debe tener los permisos necesarios. Para obtener más información, consulte Requisitos de permiso de la cuenta de servicio de Active Directory.
Al unirse a un dominio, se crea una cuenta de equipo de Active Directory en el contenedor predeterminado del equipo (que no es una unidad organizativa), con el ID de puerta de enlace de la puerta de enlace como nombre de cuenta (por ejemplo, SGW-1234ADE). No es posible personalizar el nombre de esta cuenta.
Si su entorno de Active Directory requiere que configure previamente las cuentas para facilitar el proceso de unión al dominio, tendrá que crear esta cuenta con antelación.
Si su entorno de Active Directory tiene una unidad organizativa designada para los nuevos objetos de equipo, debe especificarla al unirse al dominio.
Si la puerta de enlace no puede unirse a un directorio de Active Directory, intente unirse con la dirección IP del directorio mediante la operación de JoinDomainAPI.
-
En los campos Usuario del dominio y Contraseña del dominio, introduzca las credenciales de la cuenta de servicio de Active Directory que la puerta de enlace utilizará para unirse al dominio.
-
(Opcional) En el caso de una Unidad organizativa (UO), introduzca la UO designada que Active Directory utiliza para los nuevos objetos de equipo.
-
(Opcional) Para los controladores de dominio (DC), introduzca el nombre de uno o varios DCs a través de los cuales la puerta de enlace se conectará a Active Directory. Puede introducir varios DCs como una lista separada por comas. Puede dejar este campo en blanco para permitir que DNS seleccione automáticamente un controlador de dominio.
-
Seleccione Save changes (Guardar cambios).
Cómo limitar el acceso a los recursos compartidos de archivos a determinados usuarios y grupos de AD
-
En la consola de Storage Gateway, elija el recurso compartido de archivos al que desea limitar el acceso.
-
En el menú desplegable Acciones, seleccione Editar la configuración de acceso a recursos compartidos de archivos.
-
En la sección Acceso a recursos compartidos de archivos para usuarios y grupos, seleccione los ajustes.
En Usuarios y grupos permitidos, seleccione Agregar usuario permitido o Agregar grupo permitido e introduzca un usuario o grupo de AD al que se desee permitir el acceso a los recursos compartidos de archivos. Repita este proceso para permitir tantos usuarios y grupos como sea necesario.
Para Usuarios y grupos denegados, seleccione Agregar usuario denegado o Agregar grupo denegado e introduzca un usuario o grupo de AD al que se desee denegar el acceso a los recursos compartidos de archivos. Repita este proceso para denegar tantos usuarios y grupos como sea necesario.
nota
La sección Acceso a recursos compartidos de archivos para usuarios y grupos aparece solo si Active Directory está seleccionado.
Los grupos deben llevar el prefijo
@. Los formatos aceptables incluyen:DOMAIN\User1,user1,@group1y@DOMAIN\group1.Si configura listas de usuarios y grupos permitidos y denegados, Windows no ACLs concederá ningún acceso que invalide esas listas.
Las listas de usuarios y grupos permitidos y denegados se evalúan previamente ACLs y controlan qué usuarios pueden montar el recurso compartido de archivos o acceder a él. Si se incluye algún usuario o grupo en la lista Permitidos, la lista se considera activa y solo esos usuarios pueden montar el recurso compartido de archivos.
Una vez que un usuario haya montado un recurso compartido de archivos, ofrezca una protección más detallada que ACLs controle a qué archivos o carpetas específicos puede acceder el usuario. Para obtener más información, consulte Activar Windows ACLs en un nuevo recurso compartido de archivos SMB.
-
Cuando termine de añadir entradas, elija Save (Guardar).
