Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Modifica dell'account del FSx servizio Amazon
<a name="changing-ad-service-account"></a>

Se aggiorni il file system con un nuovo account di servizio, il nuovo account di servizio deve disporre delle autorizzazioni e dei privilegi necessari per accedere ad Active Directory e disporre delle autorizzazioni di **controllo completo** per gli oggetti informatici esistenti associati al file system. Inoltre, assicurati che il nuovo account di servizio faccia parte degli account affidabili con l'impostazione dei **Criteri di gruppo** abilitata **Controller di dominio: consenti il riutilizzo dell'account del computer durante** l'aggiunta al dominio.

Consigliamo vivamente di utilizzare un gruppo Active Directory per gestire le autorizzazioni e le configurazioni di Active Directory associate agli account di servizio.

Quando modifichi l'account di servizio per Amazon FSx, assicurati che gli account di servizio abbiano le seguenti impostazioni:
+ Il nuovo account di servizio (o il gruppo Active Directory di cui è membro) dispone delle autorizzazioni di **controllo completo** per gli oggetti informatici esistenti associati al file system.
+  Gli account di servizio nuovi e precedenti (o il gruppo Active Directory di cui fanno parte) fanno parte degli account attendibili (o gruppo attendibile di Active Directory) con il **controller di dominio: Consenti il riutilizzo degli account del computer durante l'aggiunta al dominio. L'impostazione Criteri** di gruppo è abilitata su tutti i controller di dominio in Active Directory.

Se gli account di servizio non soddisfano questi requisiti, potrebbero verificarsi le seguenti condizioni:
+ Per i file system Single-AZ, il file system potrebbe diventare **[MISCONFIGURED\$1UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)**.
+ Per i file system Multi-AZ, il file system potrebbe non essere configurato correttamente e il nome dell'endpoint potrebbe **[cambiare](administering-file-systems.md#file-system-lifecycle-states)**. RemotePowerShell 

## Configurazione dei criteri di gruppo di un controller di dominio
<a name="config-ad-group-policy"></a>

La seguente [procedura consigliata da Microsoft](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action) descrive come utilizzare i Criteri di gruppo del controller di dominio per configurare i criteri di elenco consentiti.

**Per configurare i criteri di elenco consentiti di un controller di dominio**

1. Installa gli aggiornamenti di Microsoft Windows del 12 settembre 2023 o successivi su tutti i computer membri e i controller di dominio nel tuo Microsoft Active Directory autogestito.

1. In una politica di gruppo nuova o esistente che si applica a tutti i controller di dominio nell'Active Directory autogestito, configura le seguenti impostazioni.

   1. Passa a **Configurazione computer>Criteri>Impostazioni di Windows>Impostazioni di sicurezza> Criteri locali>Opzioni di sicurezza**.

   1. Fai **doppio clic su Controller di dominio: consenti il riutilizzo dell'account del computer durante l'aggiunta al dominio.**

   1. <Edit Security ... >Seleziona **Definisci questa impostazione dei criteri** e.

   1. Utilizza il selettore di oggetti per aggiungere utenti o gruppi di creatori e proprietari di account di computer affidabili all'autorizzazione **Consenti**. (Come procedura consigliata, consigliamo vivamente di utilizzare i gruppi per le autorizzazioni.) **Non aggiungere l'account utente che esegue l'aggiunta al dominio.**
**avvertimento**  
Limita l'adesione alla policy agli utenti e agli account di servizio attendibili. Non aggiungere utenti autenticati, tutti o altri gruppi di grandi dimensioni a questa politica. Aggiungi invece utenti e account di servizio attendibili specifici ai gruppi e aggiungi tali gruppi alla politica.

1. Attendi l'intervallo di aggiornamento dei criteri di gruppo o eseguili **gpupdate /force** su tutti i controller di dominio.

1. Verificate che la chiave di registro HKLM\$1 System\$1 CCS\$1 Control\$1 SAM — «ComputerAccountReuseAllowList» sia compilata con l'SDDL desiderato. **Non modificate manualmente il registro**.

1. Tentativo di accedere a un computer su cui sono installati gli aggiornamenti del 12 settembre 2023 o successivi. Assicurati che uno degli account elencati nella politica sia proprietario dell'account del computer. Assicurati inoltre che nel registro non sia abilitata la **NetJoinLegacyAccountReuse**chiave (impostata su 1). Se l'aggiunta al dominio non riesce, controlla **`c:\windows\debug\netsetup.log`**.