Sdílet prostřednictvím

Příprava Active Directory pro místní nasazení Azure verze 23H2

  • Článek

Platí pro: Azure Local 2311.2 a novější

Tento článek popisuje, jak připravit prostředí Active Directory před nasazením azure Local verze 23H2.

Požadavky služby Active Directory pro místní Azure zahrnují:

  • Vyhrazená organizační jednotka (OU).
  • Dědičnost zásad skupiny blokovaná pro příslušný objekt zásad skupiny (GPO).
  • Uživatelský účet, který má všechna práva na organizační jednotky ve službě Active Directory.
  • Počítače nesmí být před nasazením připojené ke službě Active Directory.

Poznámka:

  • Ke splnění výše uvedených požadavků můžete použít stávající proces. Skript použitý v tomto článku je volitelný a poskytuje se ke zjednodušení přípravy.
  • Pokud je dědičnost zásad skupiny blokovaná na úrovni organizační jednotky, objekty zásad skupiny s aktivovanou volbou vynucení nejsou blokované. Pokud je to možné, ujistěte se, že jsou tyto objekty zásad skupiny blokované jinými metodami, například pomocí WMI (Windows Management Instrumentation) filtru . Pokud chcete vyloučit účty počítačů počítačů pro místní instance Azure z použití objektů zásad skupiny, použijte filtr rozhraní WMI pro všechny vynucené objekty zásad skupiny. Po použití filtru se vynucené objekty zásad skupiny nepoužije na základě logiky definované ve filtru rozhraní WMI.

Pokud chcete ručně přiřadit požadovaná oprávnění pro Active Directory, vytvořte organizační jednotku a zablokujte dědičnost objektů zásad skupiny, přečtěte si téma Vlastní konfigurace Active Directory pro místní Azure verze 23H2.

Požadavky

  • Dokončete požadavky pro nová nasazení místního prostředí Azure.

  • Nainstalujte verzi 2402 modulu 'AsHciADArtifactsPreCreationTool'. Spuštěním následujícího příkazu nainstalujte modul z PowerShell Gallery:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force

    Poznámka:

    Před instalací nové verze nezapomeňte odinstalovat všechny předchozí verze modulu.

  • K vytvoření organizační jednotky potřebujete oprávnění. Pokud nemáte oprávnění, obraťte se na správce služby Active Directory.

  • Pokud máte bránu firewall mezi místním systémem Azure a službou Active Directory, ujistěte se, že jsou nakonfigurovaná správná pravidla brány firewall. Konkrétní pokyny najdete v tématu Požadavky brány firewall pro webové služby Active Directory a službu pro správu brány active directory. Viz také Postup konfigurace brány firewall pro domény a vztahy důvěryhodnosti služby Active Directory.

Modul přípravy služby Active Directory

Rutina New-HciAdObjectsPreCreation modulu PowerShellu AsHciADArtifactsPreCreationTool slouží k přípravě Active Directory na místní nasazení Azure. Tady jsou požadované parametry přidružené k rutině:

Parametr Popis
-AzureStackLCMUserCredential Nový objekt uživatele, který je vytvořen s příslušnými oprávněními pro nasazení. Tento účet je stejný jako uživatelský účet používaný místním nasazením Azure.
Ujistěte se, že je zadané jenom uživatelské jméno. Název by neměl obsahovat název domény, například contoso\username.
Heslo musí odpovídat požadavkům na délku a složitost. Použijte heslo, které má délku nejméně 12 znaků. Heslo musí obsahovat také tři z těchto čtyř požadavků: malá písmena, velká písmena, číslice a speciální znak.
Další informace najdete v požadavcích na složitost hesla.
Název nemůže být úplně stejný jako uživatel místního správce.
Jméno může jako uživatelské jméno použít správce .
-AsHciOUName Nová organizační jednotka (OU) pro uložení všech objektů pro místní nasazení Azure. Stávající zásady skupiny a dědičnost jsou v této organizační lekci blokované, aby nedošlo ke konfliktu nastavení. Organizační jednotky musí být zadány jako rozlišující název (DN). Další informace naleznete ve formátu rozlišující názvy.

Poznámka:

  • Cesta -AsHciOUName nepodporuje následující speciální znaky kdekoli v cestě: &,",',<,>.
  • Po dokončení nasazení se přesun objektů počítače do jiné organizační jednotky nepodporuje.

Příprava služby Active Directory

Při přípravě služby Active Directory vytvoříte vyhrazenou organizační jednotku (OU) pro umístění místních objektů souvisejících s Azure, jako je uživatel nasazení.

Pokud chcete vytvořit vyhrazenou organizační jednotky, postupujte takto:

  1. Přihlaste se k počítači, který je připojený k vaší doméně služby Active Directory.

  2. Spusťte PowerShell jako správce.

  3. Spuštěním následujícího příkazu vytvořte vyhrazenou organizační jednotky.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Po zobrazení výzvy zadejte uživatelské jméno a heslo pro nasazení.

    1. Ujistěte se, že je zadané jenom uživatelské jméno. Název by neměl obsahovat název domény, například contoso\username. Uživatelské jméno musí mít délku 1 až 64 znaků a musí obsahovat jenom písmena, číslice, pomlčky a podtržítka a nesmí začínat spojovníkem nebo číslem.
    2. Ujistěte se, že heslo splňuje požadavky na složitost a délku. Použijte heslo, které má délku nejméně 12 znaků a obsahuje: malá písmena, velká písmena, číslice a speciální znak.

    Tady je ukázkový výstup z úspěšného dokončení skriptu:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Ověřte, že je OJ vytvořená. Pokud používáte klienta Windows Serveru, přejděte na Správce serveru Tools > Uživatelé a počítače služby Active Directory>.

  6. Vytvoří se organizační jednotky se zadaným názvem. Tato organizační jednotky obsahuje nový uživatelský účet nasazení LCM.

    Snímek obrazovky s oknem Počítače a uživatelé služby Active Directory

Poznámka:

Pokud opravujete jeden počítač, neodstraňujte stávající organizační jednotku. Pokud jsou svazky počítače šifrované, odstraněním organizační jednotky odeberete obnovovací klíče BitLockeru.

Úvahy o nasazeních ve velkém měřítku

Uživatelský účet Správce životního cyklu (LCM) se využívá během nasazení místní instance Azure, která používají Active Directory (AD), nebo pro všechny operace doplňků a oprav pro existující instance. Uživatelský účet LCM zodpovídá za provádění akcí připojení k doméně, což vyžaduje, aby identita uživatele LCM měla delegovaná oprávnění k přidání účtů počítačů do cílové organizační jednotky (OU) v místní doméně. Během nasazení Azure Local se uživatelský účet LCM přidá do skupiny místních správců fyzických počítačů.

Pokud chcete zmírnit riziko ohrožení přihlašovacích údajů uživatelského účtu LCM, doporučujeme, abyste pro každou místní instanci Azure měli vyhrazený uživatelský účet LCM s jedinečným heslem.

Doporučujeme postupovat podle těchto osvědčených postupů pro vytvoření organizační jednotky:

  • Pro každou místní instanci Azure vytvořte v active directory individuální organizační jednotky. Tento přístup pomáhá spravovat účty počítačů, CNO, uživatelský účet LCM a účty fyzických strojů v rámci jedné organizační jednotky pro každou instanci.
  • Při nasazování více instancí ve velkém měřítku pro snadnější správu:
    • Vytvořte jednu organizační jednotku v rámci jedné nadřazené organizační jednotky pro každou instanci.
    • Zakažte dědičnost objektů skupinových zásad na úrovni nadřazené OU.

Předchozí doporučení jsou automatizovaná, když použijete rutinu New-HciAdObjectsPreCreation k přípravě služby Active Directory.

Další kroky