本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 Active Directory 对用户进行身份验证 要使用您的企业活动目录或 AWS Managed Microsoft AD 让用户通过身份验证访问您的 SMB 文件共享,请使用您的 Microsoft AD 域凭据编辑网关的 SMB 设置。这样做可以使网关加入 Active Directory 域并允许该域的成员访问 SMB 文件共享。 **注意** 使用 Directory Service,您可以在中创建托管的 Active Directory 域服务 AWS 云。 要 AWS Managed Microsoft AD 与 Amazon EC2 网关一起使用,您必须在与相同的 VPC 中创建 Amazon EC2 实例 AWS Managed Microsoft AD,将 \$1workspaceMembers 安全组添加到 Amazon EC2 实例,然后使用中的管理员证书加入 AD 域。 AWS Managed Microsoft AD 有关的更多信息 AWS Managed Microsoft AD,请参阅《[https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)。 有关 Amazon EC2 的更多信息,请参阅 [https://docs.aws.amazon.com/ec2/](https://docs.aws.amazon.com/ec2/)。 您也可以在 SMB 文件共享上激活访问控制列表 (ACLs)。有关如何激活的信息 ACLs,请参阅[使用 Windows ACLs 限制 SMB 文件共享访问权限](smb-acl.md)。 **开启 Active Directory 身份验证** 1. 在[https://console.aws.amazon.com/storagegateway/家](https://console.aws.amazon.com/storagegateway/)中打开 Storage Gateway 控制台。 1. 选择**网关**,然后选择要编辑其 S​​MB 设置的网关。 1. 从**操作**下拉菜单中,选择**编辑 SMB 设置**,然后选择**Active Directory 设置**。 1. 在**域名**中,输入您希望网关加入的 Active Directory 域的名称。 **注意** 当网关从未加入域时,**Active Directory status (Active Directory 状态)** 显示 **Detached (已分离)**。 您的 Active Directory 服务账户必须具有必要的权限。有关更多信息,请参阅 [Active Directory 服务账户权限要求](https://docs.aws.amazon.com/filegateway/latest/files3/ad-serviceaccount-permissions.html)。 加入域会在默认计算机容器(不是 OU)中创建一个 Active Directory 计算机账户,并使用网关的**网关 ID** 作为账户名(例如,SGW-1234ADE)。此账户的名称无法自定义。 如果您的 Active Directory 环境要求您预先创建账户以简化加入域的流程,则需要提前创建此账户。 如果您的 Active Directory 环境为新的计算机对象指定了 OU,则在加入域时必须指定该 OU。 如果您的网关无法加入 Active Directory 目录,请尝试使用 [JoinDomain](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_JoinDomain.html)API 操作使用该目录的 IP 地址加入。 1. 在**域用户**和**域密码**中,输入网关用于加入域的 Active Directory 服务账户的凭证。 1. (可选)对于**组织单元(OU)**,输入您的 Active Directory 用于新计算机对象的指定 OU。 1. (可选)对于**域控制器 (DC)**,输入您的网关将 DCs 通过其连接到 Active Directory 的一个或多个控制器的名称。您可以以逗号分隔 DCs 列表的形式输入多个列表。您可以将此字段留空以允许 DNS 自动选择 DC。 1. 选择**保存更改**。 **将文件共享访问权限限制到特定 AD 用户和组** 1. 在 Storage Gateway 控制台中,选择要限制访问的文件共享。 1. 从**操作**下拉菜单中,选择**编辑文件共享访问设置**。 1. 在**用户和组文件共享访问**部分,选择您的设置。 对于**允许的用户和组**,选择**添加允许的用户**或**添加允许的组**,然后输入要允许文件共享访问的 AD 用户或组。重复此过程以允许所需数量的用户和组。 对于**拒绝的用户和组**,选择**添加拒绝的用户**或**添加拒绝的组**,然后输入要拒绝文件共享访问的 AD 用户或组。重复此过程以根据需要拒绝所需数量的用户和组。 **注意** 仅当已选择 **Active Directory** 时,**用户和组文件共享访问**部分才会出现。 组必须以 `@` 字符为前缀。可接受的格式包括:`DOMAIN\User1`、`user1`、`@group1` 和 `@DOMAIN\group1`。 如果您配置了**允许和拒绝的用户和组**列表,则 Windows ACLs 将不会授予覆盖这些列表的任何访问权限。 之前会评估 “**允许的用户和组” 和 “拒绝**的用户和组” 列表 ACLs,并控制哪些用户可以装载或访问文件共享。如果任何用户或组被添加到**允许**列表中,则该列表被视为处于激活状态,只有这些用户才能挂载文件共享。 用户挂载文件共享 ACLs 后,请提供更精细的保护,控制用户可以访问哪些特定文件或文件夹。有关更多信息,请参阅[在新的 SMB 文件共享 ACLs 上激活 Windows](https://docs.aws.amazon.com/filegateway/latest/files3/smb-acl.html#enable-acl-new-fileshare)。 1. 完成添加条目后,选择**保存**。