As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Alterando a conta FSx de serviço da Amazon
<a name="changing-ad-service-account"></a>

Se você atualizar o sistema de arquivos com uma nova conta de serviço, a nova conta de serviço deverá ter as permissões e os privilégios necessários para associá-la a um Active Directory e ter permissões de **Controle total** para os objetos de computador atuais associados ao sistema de arquivos. Além disso, verifique se a nova conta de serviço está nas contas confiáveis com a configuração de **Política de grupo** **Controlador de domínio: permitir a reutilização da conta de computador durante a associação ao domínio** habilitada.

Recomendamos fortemente usar um grupo do Active Directory para gerenciar as permissões e configurações do Active Directory associadas a contas de serviço.

Ao alterar a conta de serviço da Amazon FSx, certifique-se de que as contas de serviço tenham as seguintes configurações:
+ A nova conta de serviço (ou o grupo do Active Directory ao qual ela pertence) tem permissões de **Controle total** para os objetos de computador atuais associados ao sistema de arquivos.
+  As contas de serviço novas e anteriores (ou o grupo do Active Directory ao qual elas pertencem) fazem parte das contas confiáveis (ou do grupo confiável do Active Directory) com a configuração da Política de grupo **Controlador de domínio: Permitir a reutilização da conta de computador durante a associação ao domínio** habilitada em todos os controladores de domínio no Active Directory.

Se as contas de serviço não atenderem a esses requisitos, o sistema poderá apresentar as seguintes condições:
+ Para sistemas de arquivos single-AZ, o sistema de arquivos poderá ficar **[MISCONFIGURED\$1UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)**.
+ Para sistemas de arquivos Multi-AZ, o sistema de arquivos pode ficar **[MAL CONFIGURADO](administering-file-systems.md#file-system-lifecycle-states)** e o nome do RemotePowerShell endpoint pode mudar.

## Como configurar a Política de grupo de um controlador de domínio
<a name="config-ad-group-policy"></a>

O seguinte [procedimento recomendado pela Microsoft](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action) descreve como usar a Política de grupo do controlador de domínio para configurar a política de lista de permissões.

**Para configurar a política de lista de permissões de um controlador de domínio**

1. Instale as atualizações de 12 de setembro de 2023 ou posteriores do Microsoft Windows em todos os computadores membros e controladores de domínio no Microsoft Active Directory autogerenciado.

1. Em uma política de grupo nova ou existente aplicável a todos os controladores de domínio em seu Active Directory autogerenciado, defina as seguintes configurações.

   1. Acesse **Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança**.

   1. Clique duas vezes em **Controlador de domínio: permitir a reutilização da conta do computador durante a associação ao domínio**.

   1. Selecione **Definir esta configuração de política e <Edit Security...>**.

   1. Use o seletor de objetos para adicionar usuários ou grupos de criadores e proprietários de contas de computador confiáveis à permissão **Permitir**. (Como prática recomendada, recomendamos que você use grupos para obter permissões.) **Não adicione a conta de usuário que realiza a associação ao domínio.**
**Atenção**  
Limite a associação à política a usuários e contas de serviço confiáveis. Não adicione usuários autenticados, todos ou outros grupos grandes a essa política. Em vez disso, adicione usuários confiáveis e contas de serviço específicos aos grupos e adicione esses grupos à política.

1. Aguarde o intervalo de atualização da Política de grupo ou execute **gpupdate /force** em todos os controladores de domínio.

1. Verifique se a chave de registro HKLM\$1 System\$1 CCS\$1 Control\$1 SAM — “ComputerAccountReuseAllowList” está preenchida com o SDDL desejado. **Não edite o registro manualmente**.

1. Tente se conectar a um computador que tenha as atualizações de 12 de setembro de 2023 ou posteriores instaladas. Certifique-se de que uma das contas listadas na política seja proprietária da conta do computador. Certifique-se também de que seu registro não tenha a **NetJoinLegacyAccountReuse**chave ativada (definida como 1). Se a associação ao domínio falhar, verifique o **`c:\windows\debug\netsetup.log`**.