Active Directory 物件可用來建立以使用者身分識別為基礎的安全群組,以及以身分識別為基礎的防火牆規則。
備註: 請勿在使用分散式負載平衡器的環境中啟用分散式入侵偵測服務 (IDS)。
NSX-T Data Center 不支援搭配分散式負載平衡器使用 IDS。
若要啟用選擇性同步,請使用已啟用選擇性同步的網域建立/更新 API,以及所選組織單位 (OU) 的清單。啟用選擇性同步時,NSX-T 僅會同步位於所選 OU 內的 AD 資料。在選擇性差異同步期間,只會更新位於所選 OU 內且在上次同步後已建立或變更的 Acitve Directory 資料。如果從選取的 OU 中移除任何目錄群組,則不會在選擇性差異同步期間更新這些群組。這些群組會在所有目錄群組更新時,於完整同步期間進行更新。如需詳細資訊,請參閱《NSX-T Data Center API 指南》。
備註: 使用 API 連線至具有超過 500 個 OU 的 AD 網域。UI 不支援顯示具有超過 500 個 OU 的 AD 網域。
如果您使用 API 來手動結束已開始進行的完整同步,則同步統計資料將不會正確更新。
備註: IDFW 需依賴客體作業系統的安全性和完整性。惡意本機管理員有多種方法可偽造其身分識別以略過防火牆規則。使用者身分識別資訊由客體虛擬機器中的 Guest Introspection Agent 所提供。安全性管理員必須確定已在每個客體虛擬機器中安裝並執行 NSX Guest Introspection Agent。已登入的使用者不應擁有移除或停止代理程式的權限。