本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Windows 进行文件和文件夹级别的访问控制 ACLs
<a name="limit-access-file-folder"></a>

亚马逊版 FSx Windows 文件服务器支持通过微软 Active Directory 通过服务器消息块 (SMB) 协议进行基于身份的身份验证。Active Directory 是 Microsoft 目录服务，用于存储有关网络上对象的信息，使管理员和用户能够轻松查找和使用这些信息。这些对象通常包括共享资源，例如文件服务器以及网络用户和计算机账户。要了解有关 Amazon 活动目录支持的更多信息 FSx，请参阅[使用 Microsoft Active Directory](aws-ad-integration-fsxW.md)。

您的加入域的计算实例可以使用 Active Directory 凭证访问亚马逊 FSx 文件共享。您可以使用标准的 Windows 访问控制列表 (ACLs) 进行精细的文件级和文件夹级访问控制。Amazon FSx 文件系统会自动验证访问文件系统数据的用户的凭证，以强制执行这些 Windows ACLs。

 每个亚马逊 FSx 文件系统都附带一个名为的默认 Windows 文件共享`share`。此共享文件夹的 Windows ACLs 配置为允许**经过身份验证的用户进行 read/write **访问，包括文件系统加入的域中的用户和具有信任关系的域中的用户。它们还允许完全控制 Active Directory 中受委托对文件系统执行管理操作的委派的管理员组。如果您要将文件系统与 AWS 托管 Microsoft AD 集成，则此组为 AWS 委派 FSx 管理员。如果您要将文件系统与自行管理的 Microsoft AD 设置集成，则该组可以是域管理员。也可以是您在创建文件系统时指定的自定义委派的管理员组。要更改 ACLs，您可以将共享映射为委派管理员组成员的用户。


|  | 
| --- |
|  Amazon FSx 要求系统用户对您的文件系统中的所有文件夹拥有**完全控制** NTFS ACL 权限。请勿更改此用户在您的文件夹上的 NTFS ACL 权限。这样做会使您的文件共享无法访问，并使文件系统备份无法使用。  | 

## 相关链接
<a name="ad-related-topics"></a>
+ [什么是 AWS Directory Service？](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) 在《 AWS Directory Service 管理指南》中。
+ 在《[AWS*AWS Directory Service 管理指南》*中创建你的 Microsoft AD 托管目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html)。
+ 《AWS Directory Service 管理指南》**中的[何时创建信任关系](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html)。
+ [步骤 1：设置 Active Directory](getting-started.md#prereq-step1).