Gunakan Active Directory untuk mengautentikasi pengguna - AWS Storage Gateway

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan Active Directory untuk mengautentikasi pengguna

Untuk menggunakan Active Directory perusahaan Anda atau AWS Managed Microsoft AD untuk akses terautentikasi pengguna ke berbagi file SMB Anda, edit setelan SMB untuk gateway Anda dengan kredensi domain Microsoft AD Anda. Melakukan hal ini memungkinkan gateway Anda untuk bergabung dengan domain Direktori Aktif Anda dan memungkinkan anggota domain untuk mengakses berbagi file SMB.

catatan

Dengan menggunakan AWS Directory Service, Anda dapat membuat layanan domain Active Directory yang dihosting di file AWS Cloud.

Untuk menggunakan EC2 gateway Amazon, Anda harus membuat EC2 instance Amazon di VPC yang sama AWS Managed Microsoft AD dengan AWS Managed Microsoft AD, menambahkan grup keamanan _WorkSpaceMembers ke instance EC2 Amazon, dan bergabung dengan domain AD menggunakan kredensi Admin dari. AWS Managed Microsoft AD

Untuk informasi selengkapnya AWS Managed Microsoft AD, lihat Panduan AWS Directory Service Administrasi.

Untuk informasi selengkapnya tentang Amazon EC2, lihat Dokumentasi Amazon Elastic Compute Cloud.

Anda juga dapat mengaktifkan daftar kontrol akses (ACLs) pada berbagi file SMB Anda. Untuk informasi tentang cara mengaktifkan ACLs, lihatMenggunakan Windows ACLs untuk membatasi akses berbagi file SMB.

Untuk mengaktifkan otentikasi Active Directory

  1. Buka konsol Storage Gateway di https://console.aws.amazon.com/storagegateway/rumah.

  2. Pilih Gateway, lalu pilih gateway yang ingin Anda edit pengaturan SMB.

  3. Dari menu tarik-turun Tindakan, pilih Edit pengaturan SMB, lalu pilih pengaturan Direktori Aktif.

  4. Untuk nama Domain, masukkan nama domain Active Directory yang ingin gateway Anda bergabung.

    catatan

    Status Active Directory menunjukkan Terpisah ketika gateway tidak pernah bergabung dengan domain.

    Akun layanan Active Directory Anda harus memiliki izin yang diperlukan. Untuk selengkapnya, lihat Persyaratan izin akun layanan Direktori Aktif Persyaratan izin .

    Bergabung dengan domain membuat akun komputer Active Directory di wadah komputer default (yang bukan OU), menggunakan ID Gateway gateway sebagai nama akun (misalnya, SGW-1234ADE). Tidak mungkin untuk menyesuaikan nama akun ini.

    Jika lingkungan Direktori Aktif Anda mengharuskan Anda melakukan pra-tahap akun untuk memfasilitasi proses bergabung dengan domain, Anda harus membuat akun ini sebelumnya.

    Jika lingkungan Active Directory Anda memiliki OU yang ditunjuk untuk objek komputer baru, Anda harus menentukan OU tersebut saat bergabung dengan domain.

    Jika gateway Anda tidak dapat bergabung dengan direktori Active Directory, coba gabungkan dengan alamat IP direktori dengan menggunakan operasi JoinDomainAPI.

  5. Untuk pengguna Domain dan kata sandi Domain, masukkan kredensil untuk akun layanan Direktori Aktif yang akan digunakan gateway untuk bergabung dengan domain.

  6. (Opsional) Untuk unit Organisasi (OU), masukkan OU yang ditunjuk yang digunakan Direktori Aktif Anda untuk objek komputer baru.

  7. (Opsional) Untuk pengontrol Domain (DC), masukkan nama satu atau lebih di DCs mana gateway Anda akan terhubung ke Active Directory. Anda dapat memasukkan beberapa DCs sebagai daftar yang dipisahkan koma. Anda dapat membiarkan bidang ini kosong untuk memungkinkan DNS memilih DC secara otomatis.

  8. Pilih Simpan perubahan.

Untuk membatasi akses berbagi file ke pengguna dan grup AD tertentu

  1. Di konsol Storage Gateway, pilih file share yang ingin Anda batasi aksesnya.

  2. Dari menu tarik-turun Tindakan, pilih Edit pengaturan akses berbagi file.

  3. Di bagian Akses berbagi file pengguna dan grup, pilih pengaturan Anda.

    Untuk pengguna dan grup yang diizinkan, pilih Tambahkan pengguna yang diizinkan atau Tambahkan grup yang diizinkan dan masukkan pengguna atau grup AD yang ingin Anda izinkan akses berbagi file. Ulangi proses ini untuk memungkinkan sebanyak mungkin pengguna dan grup yang diperlukan.

    Untuk pengguna dan grup Ditolak, pilih Tambah pengguna yang ditolak atau Tambahkan grup yang ditolak dan masukkan pengguna atau grup AD yang ingin Anda tolak akses berbagi file. Ulangi proses ini untuk menolak sebanyak mungkin pengguna dan grup yang diperlukan.

    catatan

    Bagian akses berbagi file pengguna dan grup hanya muncul jika Active Directory dipilih.

    Grup harus diawali dengan @ karakter. Format yang dapat diterima meliputi: DOMAIN\User1user1,@group1,, dan@DOMAIN\group1.

    Jika Anda mengonfigurasi daftar Pengguna dan Grup yang Diizinkan dan Ditolak, Windows tidak ACLs akan memberikan akses apa pun yang menggantikan daftar tersebut.

    Daftar Pengguna dan Grup yang Diizinkan dan Ditolak dievaluasi sebelumnya ACLs, dan mengontrol pengguna mana yang dapat memasang atau mengakses berbagi file. Jika ada pengguna atau grup yang ditempatkan pada daftar Diizinkan, daftar dianggap aktif, dan hanya pengguna tersebut yang dapat memasang berbagi file.

    Setelah pengguna memasang file share, ACLs maka berikan perlindungan yang lebih terperinci yang mengontrol file atau folder tertentu yang dapat diakses pengguna. Untuk informasi selengkapnya, lihat Mengaktifkan Windows ACLs pada berbagi file SMB baru.

  4. Setelah selesai menambahkan entri, pilih Simpan.