Data Domain：Active Directory 指南

Data Domain 和 PowerProtect 作業環境可藉由 CLI 的 HTTPS 或 SSH，透過 DD System Manager 提供安全管理。這兩種方法均可啟用本機定義的使用者、網路資訊服務 （NIS） 使用者、輕量型目錄存取通訊協定 （LDAP） Microsoft Active Directory （AD） 網域使用者，以及單一登入 （SSO）。

Data Domain 和 PowerProtect 系統可為使用者或伺服器使用 Microsoft Active Directory 傳遞驗證。系統管理員可以讓特定網域和使用者群組存取儲存在系統上的檔案。建議您設定 Kerberos。此外，系統支援 Microsoft Windows NT LAN Manager NTLMv1 和 NTLMv2。但是，NTLMv2 更安全，其設計目的為取代 NTLMv1。

檢視 Active Directory 和 Kerberos 資訊

Active Directory/Kerberos 組態會決定 CIFS 和 NFS 用戶端用來驗證的方法。
Active Directory/Kerberos 驗證面板會顯示此組態。

步驟：

1. 選取 管理 >存取>驗證。
2. 展開 Active Directory/Kerberos 驗證面板。

配置 Active Directory 和 Kerberos 認證

設定 Active Directory 認證會使保護系統成為 Windows Active Directory 領域的一部分。
CIFS 用戶端和 NFS 用戶端使用 Kerberos 認證。

步驟：

1. 選取管理> 存取> 驗證。此時將顯示“身份驗證”視圖。
2. 展開 Active Directory/Kerberos 驗證 面板。
3. 按一下模式旁的設定以啟動組態精靈。隨即會顯示 Active Directory/Kerberos 驗證 對話方塊。
4. 選取 Windows/Active Directory， 然後按下一步。
5. 輸入 系統的完整領域名稱 （例如，domain1.local）、系統的使用者名稱和密碼。
6. 按一下下一步。

7. 選取預設的 CIFS 伺服器名稱，或選取手動並輸入 CIFS 伺服器名稱。
8. 若要選取 網域控制站，請選取 自動指派，或選取手動並輸入最多三個網域控制站名稱。輸入完整網域名稱、主機名稱或 IP 位址 （IPv4 或 IPv6）。
9. 若要選擇組織單位，請選擇 “使用默認計算機”，或選擇“手動”並輸入組織單位名稱。

10. 按一下下一步。此時將顯示配置的「摘要」頁面。
11. 按一下完成。系統會在驗證檢視中顯示組態資訊。
12. 按一下 Active Directory 管理存取權右側 的啟用 ，以啟用系統管理存取權。

認證模式選項

認證模式選項可決定 CIFS 和 NFS 用戶端使用支援的 Active Directory、工作群組和 Kerberos 認證組合進行驗證的方式。
關於此工作，DDOS 支援下列驗證選項。

• 已停用：CIFS 和 NFS 用戶端的 Kerberos 驗證已停用。CIFS 用戶端使用工作群組認證。
• Windows/Active Directory：CIFS 和 NFS 用戶端的 Kerberos 驗證已啟用。CIFS 用戶端使用 Active Directory 認證。
• UNIX：僅有 NFS 用戶端啟用 Kerberos 驗證。CIFS 用戶端使用工作群組認證。

管理 Active Directory 管理群組

使用 Active Directory/Kerberos 驗證面板來建立、修改和刪除 Active Directory （Windows） 群組，並將管理角色 （admin、backup-operator 等） 指派給這些群組。

若要準備管理群組，請選取 管理>存取>驗證，展開 Active Directory/Kerberos 驗證面板，然後按一下 Active Directory 管理存取啟用 按鈕。

為 Active Directory 建立管理群組

建立管理群組，將管理角色指派給在 Active Directory 群組中設定的所有使用者。
先決條件：在管理 >存取驗證頁面的 Active Directory/Kerberos 驗證面板上啟用 Active Directory >管理存取。

步驟：

1. 按一下 「建立」
2. 輸入 網域和群組名稱，以反斜線分隔。

3. 從下拉式功能表中選取群組的 管理角色 。
4. 按一下確定。

修改 Active Directory 管理群組

當您想要變更為 Active Directory 群組設定的管理網域名稱或群組名稱時，請修改管理群組。
先決條件：在管理 >存取驗證頁面的 Active Directory/Kerberos 驗證面板上啟用 Active Directory >管理存取。

步驟：

1. 在 Active Directory 管理存取權標題下選取要修改的群組 。
2. 按一下 修改
3. 修改 功能變數名稱和組名，並使用反斜杠 “\” 分隔它們。例如： domainname\groupname

刪除 Active Directory 管理群組

刪除管理群組以終止 Active Directory 群組中設定的所有使用者的系統存取。
先決條件：在管理 >存取驗證頁面的 Active Directory/Kerberos 驗證面板上啟用 Active Directory >管理存取。

步驟：

1. 在 Active Directory 管理存取權標題下選取要刪除 的群組 。
2. 按一下刪除。

系統時鐘

使用 Active Directory 模式存取 CIFS 時，系統時鐘時間與網域控制站的時間相差不得超過五分鐘。
當設定為 Active Directory 認證時，系統會定期將時間與 Windows 網域控制站同步。
因此，若要使域控制器從可靠的時間源獲取時間，請參閱 Windows 作業系統版本的Microsoft文檔，以使用時間源配置域控制器。

Active Directory 的連接埠 

Active Directory

Active Directory 不符合 FIPS 規範。
Active Directory 在設定並啟用 FIPS 時會繼續運作。

驗證組態

“身份驗證”面板中的資訊會根據配置的身份驗證類型而變化。
按一下「組態」標籤左側的「設定」連結。系統會前往管理>存取>認證頁面，可在此頁面為 Active Directory、Kerberos、工作群組和 NIS 設定認證。

Active Directory 組態資訊 

工作群組組態 

相關的文章：

• Data Domain - 將 Data Domain 系統加入 Windows 網域
• 無法將 Data Domain 加入 Active Directory 的特定組織單位 （OU）

只有以註冊使用者身分登入 Dell 支援，才能檢視下列相關文章：

• PowerProtect DD System Manager （DDSM） 和 Data Domain Management Server （DDMC） 存取失敗，並傳回 AD 驗證
• Active Directory 認證無法在 Data Domain 中作為 GC 運作
• Data Domain：無法在 Active Directory 模式中使用 CIFS 存取 Data Domain 系統
• Data Domain：使用 CIFS「set authentication active-directory」命令
• 將 Data Domain 加入特定組織單位 （OU） 的 Active Directory
• Data Domain：為 Active Directory 設定的 Data Domain 系統 Windows 驗證問題
• Data Domain：由於伺服器原則，無法加入 Active Directory