本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 Active Directory 來驗證使用者 若要使用公司 Active Directory 或 AWS Managed Microsoft AD 進行使用者驗證存取 SMB 檔案共享,請使用 Microsoft AD 網域登入資料編輯閘道的 SMB 設定。這麼做可讓您的閘道加入 Active Directory 網域,並允許網域成員存取 SMB 檔案共享。 **注意** 您可以使用 Directory Service在 中建立託管 Active Directory 網域服務 AWS 雲端。 若要 AWS Managed Microsoft AD 搭配 Amazon EC2 閘道使用 ,您必須在與 相同的 VPC 中建立 Amazon EC2 執行個體 AWS Managed Microsoft AD,將 \$1workspaceMembers 安全群組新增至 Amazon EC2 執行個體,並使用來自 的 Admin 憑證加入 AD 網域 AWS Managed Microsoft AD。 如需 的詳細資訊 AWS Managed Microsoft AD,請參閱 [https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)。 如需 Amazon EC2 的詳細資訊,請參閱 [https://docs.aws.amazon.com/ec2/](https://docs.aws.amazon.com/ec2/)。 您也可以在 SMB 檔案共享上啟用存取控制清單 (ACLs)。如需如何啟用 ACLs的詳細資訊,請參閱 [使用 Windows ACLs限制 SMB 檔案共用存取](smb-acl.md)。 **開啟 Active Directory 身分驗證** 1. 前往 [https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/) 開啟 Storage Gateway 主控台。 1. 選擇**閘道**,然後選擇您要編輯 SMB 設定的閘道。 1. 從**動作**下拉式功能表中,選擇**編輯 SMB 設定**,然後選擇 **Active Directory 設定**。 1. 針對**網域名稱**,輸入您希望閘道加入的 Active Directory 網域名稱。 **注意** 若閘道從未加入網域,**Active Directory status (Active Directory 狀態)** 會顯示 **Detached (已卸除)**。 您的 Active Directory 服務帳戶必須具有必要的許可。如需詳細資訊,請參閱 [Active Directory 服務帳戶許可要求](https://docs.aws.amazon.com/filegateway/latest/files3/ad-serviceaccount-permissions.html)。 加入網域會使用閘道的**閘道 ID** 做為帳戶名稱 (例如,SGW-1234ADE),在預設的電腦容器 (非 OU) 中建立 Active Directory 電腦帳戶。您無法自訂此帳戶的名稱。 如果您的 Active Directory 環境要求您預先設定帳戶以促進加入網域程序,您將需要事先建立此帳戶。 如果您的 Active Directory 環境具有新電腦物件的指定 OU,您必須在加入網域時指定該 OU。 如果您的閘道無法加入 Active Directory 目錄,請試著使用 [JoinDomain](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_JoinDomain.html) API 操作,使用目錄的 IP 地址來加入。 1. 對於**網域使用者**和**網域密碼**,輸入閘道將用於加入網域的 Active Directory 服務帳戶的登入資料。 1. (選用) 針對**組織單位 (OU)**,輸入 Active Directory 用於新電腦物件的指定 OU。 1. (選用) 對於**網域控制器 (DC) (DC)**,輸入閘道將透過其中連線到 Active Directory 的一或多個 DCs 名稱。您可以輸入多個 DCs做為逗號分隔清單。您可以保留此欄位空白,以允許 DNS 自動選取 DC。 1. 選擇**儲存變更**。 **限制檔案共享對特定 AD 使用者和群組的存取** 1. 在 Storage Gateway 主控台中,選擇您要限制存取的檔案共用。 1. 從**動作**下拉式功能表中,選擇**編輯檔案共享存取設定**。 1. 在**使用者和群組檔案共享存取**區段中,選擇您的設定。 針對**允許的使用者和群組**,選擇**新增允許的使用者**或**新增允許的群組**,然後輸入您要允許檔案共用存取的 AD 使用者或群組。重複此程序,以允許所需的使用者和群組數量。 針對**拒絕的使用者和群組**,選擇**新增拒絕的使用者**或**新增拒絕群組**,然後輸入您要拒絕檔案共用存取的 AD 使用者或群組。重複此程序,視需要拒絕任意數量的使用者和群組。 **注意** 只有在選取 **Active Directory** 時,才會顯示**使用者和群組檔案共享存取**區段。 群組必須以 `@` 字元為字首。可接受的格式包括:`DOMAIN\User1`、`@group1`、 `user1`和 `@DOMAIN\group1`。 如果您設定**允許和拒絕的使用者和群組**清單,則 Windows ACLs 不會授予覆寫這些清單的任何存取權。 **允許和拒絕的使用者和群組**清單會在 ACLs 之前進行評估,並控制哪些使用者可以掛載或存取檔案共享。如果允許****清單中有任何使用者或群組,則清單會被視為作用中,只有這些使用者可以掛載檔案共享。 使用者掛載檔案共享之後,ACLs會提供更精細的保護,以控制使用者可以存取哪些特定檔案或資料夾。如需詳細資訊,請參閱[在新的 SMB 檔案共享上啟用 Windows ACLs](https://docs.aws.amazon.com/filegateway/latest/files3/smb-acl.html#enable-acl-new-fileshare)。 1. 當您完成新增項目時,請選擇 **Save (儲存)**。