기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon FSx 서비스 계정 변경
<a name="changing-ad-service-account"></a>

새 서비스 계정으로 파일 시스템을 업데이트하는 경우 새 서비스 계정에는 Active Directory에 가입하는 데 필요한 권한과 권한이 있어야 하며 파일 시스템과 연결된 기존 컴퓨터 객체에 대한 **전체 제어** 권한이 있어야 합니다. 또한 새 서비스 계정이 활성화된 **그룹 정책** 설정 **도메인 컨트롤러: 도메인 조인 중에 컴퓨터 계정 재사용 허용**을 사용하는 신뢰할 수 있는 계정의 일부인지 확인합니다.

Active Directory 그룹을 사용하여 서비스 계정과 연결된 Active Directory 권한 및 구성을 관리하는 것이 좋습니다.

Amazon FSx의 서비스 계정을 변경할 때 서비스 계정에 다음 설정이 있는지 확인합니다.
+ 새 서비스 계정(또는 멤버인 Active Directory 그룹)에는 파일 시스템과 연결된 기존 컴퓨터 객체에 대한 **전체 제어** 권한이 있습니다.
+  새 서비스 계정 및 이전 서비스 계정(또는 해당 계정이 멤버인 Active Directory 그룹)은 Active Directory의 모든 도메인 컨트롤러에서 **도메인 컨트롤러: 도메인 가입 중 컴퓨터 계정 재사용 허용** 그룹 정책 설정이 활성화된 신뢰할 수 있는 계정(또는 신뢰할 수 있는 Active Directory 그룹)의 일부입니다.

서비스 계정이 이러한 요구 사항을 충족하지 않으면 다음과 같은 상황이 발생할 수 있습니다.
+ 단일 AZ 파일 시스템의 경우 파일 시스템이 **[MISCONFIGURED\$1UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)**가 될 수 있습니다.
+ 다중 AZ 파일 시스템의 경우 파일 시스템이 **[MISCONFIGURED](administering-file-systems.md#file-system-lifecycle-states)**가 되고 RemotePowerShell 엔드포인트 이름이 변경될 수 있습니다.

## 도메인 컨트롤러의 그룹 정책 구성
<a name="config-ad-group-policy"></a>

다음 [ Microsoft 권장 절차](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action)에서는 도메인 컨트롤러 그룹 정책을 사용하여 허용 목록 정책을 구성하는 방법을 설명합니다.

**도메인 컨트롤러의 허용 목록 정책을 구성하려면**

1. 자체 관리형 Microsoft Active Directory의 모든 멤버 컴퓨터 및 도메인 컨트롤러에 2023년 9월 12일 이후의 Microsoft Windows 업데이트를 설치합니다.

1. 자체 관리형 Active Directory의 모든 도메인 컨트롤러에 적용되는 새 또는 기존 그룹 정책에서 다음 설정을 구성합니다.

   1. **컴퓨터 구성>정책>Windows 설정>보안 설정> 로컬 정책>보안 옵션**으로 이동합니다.

   1. **도메인 컨트롤러: 도메인 가입 중 컴퓨터 계정 재사용 허용**을 클릭합니다.

   1. **이 정책 설정 정의 및 <보안 편집...>**을 선택합니다.

   1. 객체 선택기를 사용하여 신뢰할 수 있는 컴퓨터 계정 생성자 및 소유자의 사용자 또는 그룹을 **허용** 권한에 추가합니다. (권한에 그룹을 사용하는 것이 가장 좋습니다.) **도메인 조인을 수행하는 사용자 계정을 추가하지 마세요.**
**주의**  
정책 멤버십을 신뢰할 수 있는 사용자 및 서비스 계정으로 제한합니다. 인증된 사용자, 모든 사용자 또는 기타 대규모 그룹을 이 정책에 추가하지 마세요. 대신 특정 신뢰할 수 있는 사용자 및 서비스 계정을 그룹에 추가하고 해당 그룹을 정책에 추가합니다.

1. 그룹 정책 새로 고침 간격을 기다리거나 모든 도메인 컨트롤러에서 **gpupdate /force**를 실행합니다.

1. HKLM\$1System\$1CCS\$1Control\$1SAM – “ComputerAccountReuseAllowList ” 레지스트리 키가 원하는 SDDL로 채워져 있는지 확인합니다. **레지스트리를 수동으로 편집하지 마십시오**.

1. 2023년 9월 12일 또는 이후 업데이트가 설치된 컴퓨터에 조인을 시도합니다. 정책에 나열된 계정 중 하나가 컴퓨터 계정을 소유하고 있는지 확인합니다. 또한 레지스트리에 **NetJoinLegacyAccountReuse** 키가 활성화되어 있지 않은지 확인합니다(1로 설정). 도메인 조인이 실패하면 **`c:\windows\debug\netsetup.log`**를 확인합니다.