翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon FSx サービスアカウントの変更
<a name="changing-ad-service-account"></a>

ファイルシステムを新しいサービスアカウントで更新する場合は、その新しいサービスアカウントに Active Directory を結合させるのに必要なアクセス許可と権限、およびファイルシステムに関連付けられている既存のコンピュータオブジェクトに対する **[フルコントロール]** アクセス許可が付与されていることを確認してください。さらに、新しいサービスアカウントが、**[グループポリシー]** 設定の **[ドメインコントローラー: ドメイン結合中にコンピュータアカウントの再利用を許可する]** が有効な信頼されたアカウントの一部であることを確認します。

Active Directory グループを使用して、サービスアカウントに関連付けられた Active Directory のアクセス許可と設定を管理することを強くお勧めします。

Amazon FSx のサービスアカウントを変更する場合、サービスアカウントに次の設定があることを確認してください。
+ 新しいサービスアカウント (またはメンバーである Active Directory グループ) が、ファイルシステムに関連付けられている既存のコンピュータオブジェクトに対する**フルコントロール**アクセス許可を持っている。
+  新規および以前のサービスアカウント (またはそれらが属する Active Directory グループ) は、Active Directory のすべてのドメインコントローラーで、**[ドメインコントローラー: ドメイン結合中にコンピュータアカウントを再利用を許可する]** グループポリシー設定が有効になっている信頼されたアカウント (または信頼された Active Directory グループ) の一部です。

サービスアカウントがこれらの要件を満たしていない場合、次の条件が発生する可能性があります。
+ シングル AZ ファイルシステムの場合、ファイルシステムは **[MISCONFIGURED\_UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)** になる可能性があります。
+ マルチ AZ ファイルシステムでは、ファイルシステムが **[MISCONFIGURED](administering-file-systems.md#file-system-lifecycle-states)** になり、RemotePowerShell エンドポイント名が変更される可能性があります。

## ドメインコントローラーのグループポリシーの設定
<a name="config-ad-group-policy"></a>

次の [Microsoft の推奨手順](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action)では、ドメインコントローラーグループポリシーを使用して許可リストポリシーを設定する方法について説明します。

**ドメインコントローラーの許可リストポリシーを設定するには**

1. 2023 年 9 月 12 日以降の Microsoft Windows 更新プログラムを、セルフマネージド Microsoft Active Directory のすべてのメンバーコンピュータとドメインコントローラーにインストールします。

1. セルフマネージド Active Directory 内のすべてのドメインコントローラーに適用される新規または既存のグループポリシーで、以下の設定を行います。

   1. **[コンピュータ設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [ローカルポリシー] > [セキュリティオプション]** の順にに移動します。

   1. **[ドメインコントローラー: ドメイン結合中にコンピュータアカウントの再利用を許可する]** をダブルクリックします。

   1. **[このポリシー設定と<セキュリティの編集…>を定義]** を選択します。

   1. オブジェクトピッカーを使用して、信頼できるコンピュータアカウント作成者と所有者のユーザーまたはグループを **[許可]** アクセス許可に追加します。(ベストプラクティスとして、アクセス許可にグループを使用することを強くお勧めします)。**ドメイン結合を実行するユーザーアカウントを追加しないでください。**
**警告**  
メンバーシップを信頼されたユーザーとサービスアカウントに限定します。認証されたユーザー、全員、またはその他の大きなグループをこのポリシーに追加しないでください。代わりに、特定の信頼されたユーザーとサービスアカウントをグループに追加し、それらのグループをポリシーに追加します。

1. グループポリシーの更新間隔を待つか、すべてのドメインコントローラーで **gpupdate /force** を実行します。

1. HKLM\\System\\CCS\\Control\\SAM – “ComputerAccountReuseAllowList” レジストリキーに目的の SDDL が入力されていることを確認します。**レジストリを手動で編集しないでください**。

1. 2023 年 9 月 12 日以降の更新がインストールされているコンピュータへの結合を試みます。ポリシーに記載されているアカウントの 1 つがコンピュータアカウントを所有していることを確認します。また、レジストリで **NetJoinLegacyAccountReuse** キーが有効になっていない (1 に設定) ことを確認してください。ドメイン結合が失敗した場合、**`c:\windows\debug\netsetup.log`** を確認します。