本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 變更 Amazon FSx 服務帳戶
<a name="changing-ad-service-account"></a>

如果您使用新的服務帳戶更新檔案系統，則新的服務帳戶必須具有加入 Active Directory 所需的許可和權限，並具有與檔案系統相關聯之現有電腦物件**的完整控制**許可。此外，請確定新的服務帳戶是已啟用**群組政策**設定**網域控制器的信任帳戶的一部分：允許在網域加入期間重複使用電腦帳戶**。

我們強烈建議使用 Active Directory 群組來管理與服務帳戶相關聯的 Active Directory 許可和組態。

變更 Amazon FSx 的服務帳戶時，請確定服務帳戶具有下列設定：
+ 新的服務帳戶 （或其成員的 Active Directory 群組） 具有與檔案系統相關聯的現有電腦物件**的完整控制**許可。
+  新的和先前的服務帳戶 （或其成員的 Active Directory 群組） 是具有**網域控制站的信任帳戶 （或信任的 Active Directory 群組） 的一部分：允許在 Active Directory 中所有網域控制站上啟用網域聯結群組政策設定期間重複使用電腦帳戶**。

如果服務帳戶不符合這些要求，可能會發生下列情況：
+ 對於單一可用區檔案系統，檔案系統可能會變成 **[MISCONFIGURED\$1UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)**。
+ 對於多可用區域檔案系統，檔案系統可能會變成 **[MISCONFIGURED](administering-file-systems.md#file-system-lifecycle-states)**，而 RemotePowerShell 端點名稱可能會變更。

## 設定網域控制站的群組政策
<a name="config-ad-group-policy"></a>

下列 [ Microsoft 建議程序](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action)說明如何使用網域控制站群組政策來設定允許清單政策。

**設定網域控制站的允許清單政策**

1. 在自我管理 Microsoft Active Directory 中的所有成員電腦和網域控制站上安裝 2023 年 9 月 12 日或更新版本的 Microsoft Windows 更新。

1. 在套用至自我管理 Active Directory 中所有網域控制站的新或現有群組政策中，設定下列設定。

   1. 導覽至**電腦組態＞政策>Windows 設定＞安全性設定＞本機政策＞安全性選項**。

   1. 按兩下**網域控制站：允許電腦帳戶在網域加入期間重複使用**。

   1. 選取**定義此政策設定並 <編輯安全性...>**。

   1. 使用物件挑選器，將信任的電腦帳戶建立者和擁有者的使用者或群組新增至**允許**許可。（最佳實務是強烈建議您使用 群組來取得許可。) **請勿新增執行網域聯結的使用者帳戶。**
**警告**  
將政策的成員資格限制為信任的使用者和服務帳戶。請勿將已驗證的使用者、所有人或其他大型群組新增至此政策。反之，請將特定信任的使用者和服務帳戶新增至群組，並將這些群組新增至政策。

1. 等待群組政策重新整理間隔，或在所有網域控制站**gpupdate /force**上執行。

1. 確認 HKLM\$1System\$1CCS\$1Control\$1SAM – “ComputerAccountReuseAllowList” 登錄機碼已填入所需的 SDDL。**請勿手動編輯登錄**檔。

1. 嘗試加入已安裝 2023 年 9 月 12 日或更新版本更新的電腦。確保政策中列出的其中一個帳戶擁有該電腦帳戶。同時確保其登錄檔未啟用 **NetJoinLegacyAccountReuse** 金鑰 （設定為 1)。如果網域聯結失敗，請檢查 **`c:\windows\debug\netsetup.log`**。