本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 編輯閘道的 SMB 設定
<a name="edit-smb-access-settings"></a>

閘道層級 SMB 設定可讓您設定閘道上 SMB 檔案共用的安全策略、Active Directory 身分驗證、訪客存取、本機群組許可和檔案共用可見性。

**編輯閘道層級 SMB 設定**

1. 前往 [https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/) 開啟 Storage Gateway 主控台。

1. 選擇**閘道**，然後選擇您要為其編輯 SMB 設定的閘道。

1. 從**動作**下拉式功能表中，選擇**編輯 SMB 設定**，然後選擇您要編輯的設定。

本節包含下列主題，這些主題提供有關為閘道設定每個個別 SMB 設定的其他資訊和程序。

**主題**
+ [設定閘道安全層級](security-strategy.md) - 了解如何設定安全層級來指定連線需求，例如伺服器訊息區塊 (SMB) 簽署和加密，以及是否允許來自 SMB 第 1 版用戶端的連線。
+ [設定 Active Directory 身分驗證](enable-ad-settings.md) - 了解如何設定您的公司 Active Directory 或 AWS Managed Microsoft AD，以供使用者驗證存取您的 SMB 檔案共享。
+ [提供訪客存取權](guest-access.md) - 了解如何設定閘道，以允許任何提供正確訪客帳戶使用者名稱和密碼的使用者存取訪客。
+ [設定本機群組](local-group-settings.md) - 了解如何設定本機群組，以授予 Active Directory 使用者特殊檔案共享許可。
+ [設定檔案共享可見性](file-share-visibility.md) - 了解如何在將共用列出給使用者時，指定閘道上的共用是否可見。

# 設定閘道的安全層級
<a name="security-strategy"></a>

透過使用 S3 檔案閘道，您可以指定閘道的安全層級。透過指定此安全層級，您可以設定閘道是否需要伺服器訊息區塊 (SMB) 簽署或 SMB 加密，還是要允許 SMB 第 1 版。

**設定安全層級**

1. 前往 [https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/) 開啟 Storage Gateway 主控台。

1. 選擇**閘道**，然後選擇您要為其編輯 SMB 設定的閘道。

1. 從**動作**下拉式功能表中，選擇**編輯 SMB 設定**，然後選擇 **SMB 安全設定**。

1. 對於 **Security level (安全層級)**，請選擇以下其中一項：
**注意**  
如需有關使用 AWS API 設定此設定的資訊，請參閱 *AWS Storage Gateway API 參考*中的 [UpdateSMBSecurityStrategy](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_UpdateSMBSecurityStrategy.html)。  
更高的安全策略層級可能會影響閘道的效能。
   + **強制執行 AES256 加密** – 如果您選擇此選項，S3 File Gateway 僅允許來自使用 256 位元 AES 加密演算法之 SMBv3 用戶端的連線。不允許 128 位元演算法。對於處理敏感資料的環境，建議使用此選項。它適用於 Microsoft Windows 上的所有目前 SMB 用戶端。
   + **強制加密** – 如果您選擇此選項，S3 File Gateway 僅允許來自已開啟加密之 SMBv3 用戶端的連線。允許 256 位元和 128 位元演算法。對於處理敏感資料的環境，建議使用此選項。它適用於 Microsoft Windows 上的所有目前 SMB 用戶端。
   + **強制簽署** – 如果您選擇此選項，S3 File Gateway 僅允許來自已開啟簽署之 SMBv2 或 SMBv3 用戶端的連線。此選項適用於 Microsoft Windows 上的所有目前 SMB 用戶端。
   + **用戶端交涉** – 如果您選擇此選項，請求會根據用戶端交涉的內容建立。當您想要將環境中不同用戶端的相容性最大化時，建議使用此選項。
**注意**  
對於在 2019 年 6 月 20 日之前啟用的閘道，預設的安全層級是 **Client negotiated (交涉的用戶端)**。  
對於在 2019 年 6 月 20 日 (含) 之後啟用的閘道，預設的安全層級是 **Enforce encryption (強制加密)**。

1. 選擇**儲存**。

# 使用 Active Directory 來驗證使用者
<a name="enable-ad-settings"></a>

若要使用公司 Active Directory 或 AWS Managed Microsoft AD 進行使用者驗證存取 SMB 檔案共享，請使用 Microsoft AD 網域登入資料編輯閘道的 SMB 設定。這麼做可讓您的閘道加入 Active Directory 網域，並允許網域成員存取 SMB 檔案共享。

**注意**  
您可以使用 Directory Service在 中建立託管 Active Directory 網域服務 AWS 雲端。  
若要 AWS Managed Microsoft AD 搭配 Amazon EC2 閘道使用 ，您必須在與 相同的 VPC 中建立 Amazon EC2 執行個體 AWS Managed Microsoft AD，將 \$1workspaceMembers 安全群組新增至 Amazon EC2 執行個體，並使用來自 的 Admin 憑證加入 AD 網域 AWS Managed Microsoft AD。  
如需 的詳細資訊 AWS Managed Microsoft AD，請參閱 [https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)。  
如需 Amazon EC2 的詳細資訊，請參閱 [https://docs.aws.amazon.com/ec2/](https://docs.aws.amazon.com/ec2/)。

您也可以在 SMB 檔案共享上啟用存取控制清單 (ACLs)。如需如何啟用 ACLs的詳細資訊，請參閱 [使用 Windows ACLs限制 SMB 檔案共用存取](smb-acl.md)。

**開啟 Active Directory 身分驗證**

1. 前往 [https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/) 開啟 Storage Gateway 主控台。

1. 選擇**閘道**，然後選擇您要編輯 SMB 設定的閘道。

1. 從**動作**下拉式功能表中，選擇**編輯 SMB 設定**，然後選擇 **Active Directory 設定**。

1. 針對**網域名稱**，輸入您希望閘道加入的 Active Directory 網域名稱。
**注意**  
若閘道從未加入網域，**Active Directory status (Active Directory 狀態)** 會顯示 **Detached (已卸除)**。  
您的 Active Directory 服務帳戶必須具有必要的許可。如需詳細資訊，請參閱 [Active Directory 服務帳戶許可要求](https://docs.aws.amazon.com/filegateway/latest/files3/ad-serviceaccount-permissions.html)。  
加入網域會使用閘道的**閘道 ID** 做為帳戶名稱 （例如，SGW-1234ADE)，在預設的電腦容器 （非 OU) 中建立 Active Directory 電腦帳戶。您無法自訂此帳戶的名稱。  
如果您的 Active Directory 環境要求您預先設定帳戶以促進加入網域程序，您將需要事先建立此帳戶。  
如果您的 Active Directory 環境具有新電腦物件的指定 OU，您必須在加入網域時指定該 OU。  
如果您的閘道無法加入 Active Directory 目錄，請試著使用 [JoinDomain](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_JoinDomain.html) API 操作，使用目錄的 IP 地址來加入。

1. 對於**網域使用者**和**網域密碼**，輸入閘道將用於加入網域的 Active Directory 服務帳戶的登入資料。

1. （選用） 針對**組織單位 (OU)**，輸入 Active Directory 用於新電腦物件的指定 OU。

1. （選用） 對於**網域控制器 (DC) (DC)**，輸入閘道將透過其中連線到 Active Directory 的一或多個 DCs 名稱。您可以輸入多個 DCs做為逗號分隔清單。您可以保留此欄位空白，以允許 DNS 自動選取 DC。

1. 選擇**儲存變更**。

**限制檔案共享對特定 AD 使用者和群組的存取**

1. 在 Storage Gateway 主控台中，選擇您要限制存取的檔案共用。

1. 從**動作**下拉式功能表中，選擇**編輯檔案共享存取設定**。

1. 在**使用者和群組檔案共享存取**區段中，選擇您的設定。

   針對**允許的使用者和群組**，選擇**新增允許的使用者**或**新增允許的群組**，然後輸入您要允許檔案共用存取的 AD 使用者或群組。重複此程序，以允許所需的使用者和群組數量。

   針對**拒絕的使用者和群組**，選擇**新增拒絕的使用者**或**新增拒絕群組**，然後輸入您要拒絕檔案共用存取的 AD 使用者或群組。重複此程序，視需要拒絕任意數量的使用者和群組。
**注意**  
只有在選取 **Active Directory** 時，才會顯示**使用者和群組檔案共享存取**區段。  
群組必須以 `@` 字元為字首。可接受的格式包括：`DOMAIN\User1`、`@group1`、 `user1`和 `@DOMAIN\group1`。  
如果您設定**允許和拒絕的使用者和群組**清單，則 Windows ACLs 不會授予覆寫這些清單的任何存取權。  
**允許和拒絕的使用者和群組**清單會在 ACLs 之前進行評估，並控制哪些使用者可以掛載或存取檔案共享。如果允許****清單中有任何使用者或群組，則清單會被視為作用中，只有這些使用者可以掛載檔案共享。  
使用者掛載檔案共享之後，ACLs會提供更精細的保護，以控制使用者可以存取哪些特定檔案或資料夾。如需詳細資訊，請參閱[在新的 SMB 檔案共享上啟用 Windows ACLs](https://docs.aws.amazon.com/filegateway/latest/files3/smb-acl.html#enable-acl-new-fileshare)。

1. 當您完成新增項目時，請選擇 **Save (儲存)**。



# 提供訪客存取您的檔案共享
<a name="guest-access"></a>

您可以設定 S3 檔案閘道，以允許任何能夠提供正確訪客帳戶使用者名稱和密碼的使用者存取訪客。如果您希望這成為使用者存取檔案閘道的唯一方法，則不需要將閘道加入 Microsoft Active Directory 網域。您也可以使用此訪客存取方法，在屬於 Active Directory 網域的 S3 檔案閘道上建立檔案共享。

當您設定檔案共享以使用**訪客存取**身分驗證方法時，訪客存取使用者名稱為 `smbguest`。您需要變更`smbguest`使用者的預設密碼，才能使用訪客存取建立檔案共享。

您可以使用下列程序來變更訪客使用者 的密碼`smbguest`。

**變更訪客存取密碼**

1. 前往 [https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/) 開啟 Storage Gateway 主控台。

1. 從主控台頁面左側的導覽窗格中選擇**閘道**，然後選擇您要為其提供訪客存取權的閘道**名稱**。

1. 從**動作**下拉式選單中，選擇**編輯 SMB 設定**，然後選擇**訪客存取設定**。

1. 針對**訪客密碼**，輸入您要設定的訪客存取密碼，然後選擇**儲存變更**。

# 為您的閘道設定本機群組
<a name="local-group-settings"></a>

本機群組設定可讓您授予 Active Directory 使用者或群組閘道上 SMB 檔案共用的特殊許可。

您可以使用本機群組設定來指派閘道管理員許可。閘道管理員可以使用共用資料夾 Microsoft 管理主控台嵌入來強制關閉開啟和鎖定的檔案。

**注意**  
您必須新增至少一個閘道管理員使用者或群組，才能將閘道加入 Active Directory 網域。

**指派閘道管理員**

1. 前往 [https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/) 開啟 Storage Gateway 主控台。

1. 選擇**閘道**，然後選擇您要為其編輯 SMB 設定的閘道。

1. 從**動作**下拉式功能表中，選擇**編輯 SMB 設定**，然後選擇**本機群組設定**。

1. 在**本機群組設定**區段中，選擇您的設定。本節僅適用於使用 Active Directory 的檔案共用。

   對於**閘道管理員**，新增您要授予本機閘道管理員許可的 Active Directory 使用者和群組。每行新增一個使用者或群組，包括網域名稱。例如 **corp\$1Domain Admins**。若要建立其他行，請選擇**新增閘道管理員**。
**注意**  
編輯閘道管理員會中斷連線並重新連線所有 SMB 檔案共用。

1. 選擇**儲存變更**，然後選擇**繼續**以確認出現的警告訊息。

# 設定檔案共享可見性
<a name="file-share-visibility"></a>

檔案共用可見性可控制在將共用列出給使用者時，閘道上的共用是否可見，例如在網路檢視或瀏覽清單中。如果閘道上的檔案共享可見，則用戶端如果知道閘道 IP 地址或 DNS 名稱，則可以使用檔案瀏覽器輕鬆探索共享。如果看不到檔案共享，則用戶端除了閘道 IP 或 DNS 名稱之外，還需要知道檔案共享名稱，才能探索共享。

**注意**  
此設定不是保護部署中檔案共享存取權的有效方法。為了安全起見，建議您設定許可，以限制特定使用者和群組的存取。如需說明，請參閱[限制 SMB 檔案共享的使用者和群組存取](https://docs.aws.amazon.com/filegateway/latest/files3/edit-file-share-access-smb.html)。

**設定檔案共享可見性**

1. 前往 [https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/) 開啟 Storage Gateway 主控台。

1. 選擇**閘道**，然後選擇您要為其編輯 SMB 設定的閘道。

1. 從**動作**下拉式功能表中，選擇**編輯 SMB 設定**，然後選擇**檔案共享可見性設定**。

1. 對於**可見性狀態**，如果您希望此閘道上的共用在閘道清單與使用者共用時出現，請選取核取方塊。如果您不希望此閘道上的共用在閘道列出共用給使用者時出現，請保持清除核取方塊。