Vlastní konfigurace Služby Active Directory pro místní instanci Azure
Platí pro: Azure Local 2311.2 a novější
Tento článek popisuje oprávnění a záznamy DNS vyžadované pro nasazení místní instance Azure. Tento článek také používá příklady s podrobnými kroky, jak ručně přiřadit oprávnění a vytvořit záznamy DNS pro vaše prostředí Active Directory.
Místní řešení Azure je nasazené ve velkých adresářích Active Directory se zavedenými procesy a nástroji pro přiřazování oprávnění. Microsoft poskytuje přípravný skript služby Active Directory, který lze volitelně použít pro místní nasazení Azure. Požadovaná oprávnění pro Službu Active Directory, vytvoření organizační jednotky a blokování dědičnosti objektů zásad skupiny lze také nakonfigurovat ručně.
Můžete také zvolit server DNS, který se má použít, například servery Microsoft DNS, které podporují integraci se službou Active Directory, a využívat tak výhody zabezpečených dynamických aktualizací. Pokud se servery DNS Microsoftu nepoužívají, musíte vytvořit sadu záznamů DNS pro nasazení a aktualizaci místního řešení Azure.
Informace o požadavcích služby Active Directory
Tady jsou některé požadavky služby Active Directory pro místní nasazení Azure.
K optimalizaci doby dotazování pro zjišťování objektů se vyžaduje vyhrazená organizační jednotka (OU). Tato optimalizace je důležitá pro velké adresáře Active Directory, které pokrývají více lokalit. Tato vyhrazená organizační jednotka se vyžaduje jenom pro objekty počítače a CNO clusteru s podporou převzetí služeb při selhání systému Windows.
Uživatel (také známý jako uživatel nasazení) vyžaduje potřebná oprávnění pro vyhrazenou organizační jednotku. Uživatel se může nacházet kdekoli v adresáři.
Blokování dědičnosti zásad skupiny se vyžaduje, aby nedocházelo ke konfliktům nastavení pocházejících z objektů zásad skupiny. Nový modul zavedený s Azure Local spravuje výchozí nastavení zabezpečení, včetně ochrany odchylek. Další informace najdete v tématu Funkce zabezpečení pro místní instanci Azure.
Objekty účtu počítače a CNO clusteru je možné předem vytvořit pomocí uživatelského účtu pro nasazení jako alternativa k jejich vytváření při nasazení.
Požadována oprávnění
Oprávnění požadovaná objektem uživatele označovaným jako uživatel nasazení jsou omezena tak, aby byla použitelná pouze pro vyhrazenou organizační jednotku. Oprávnění se dají shrnout jako čtení, vytváření a odstraňování počítačových objektů s možností načíst informace o obnovení BitLockeru.
Tady je tabulka, která obsahuje oprávnění požadovaná pro uživatele nasazení a CNO clusteru nad organizační jednotkou a všechny potomky objektů.
| Role | Popis přiřazených oprávnění |
|---|---|
| Uživatel nasazení přes organizační jednotku a všechny podřízené objekty | Obsah seznamu Přečtěte si všechny vlastnosti Oprávnění ke čtení Vytvořte objekty počítače. Odstraňte objekty počítače. |
| Uživatel pro nasazení v rámci organizační jednotky (OU), ale aplikován pouze na potomky objektů msFVE-Recoveryinformation | Úplné řízení. Obsah seznamu Přečtěte si všechny vlastnosti. Zapište všechny vlastnosti. Odstranit. Oprávnění ke čtení Umožňuje upravit oprávnění. Změnit vlastníka Všechny ověřené zápisy. |
| CNO nad organizační jednotkou uplatněný na tento objekt a všechny potomkovské objekty | Přečtěte všechny vlastnosti. Vytvořit počítačové objekty. |
Přiřazení oprávnění pomocí PowerShellu
Pomocí rutin PowerShellu můžete přiřadit příslušná oprávnění uživateli pro nasazení v rámci organizační jednotky. Následující příklad ukazuje, jak můžete přiřadit požadovaná oprávnění uživateli nasazení pro organizační jednotku HCI001, která se nachází v doméně služby Active Directory contoso.com.
Poznámka:
Skript vyžaduje, abyste ve službě Active Directory předem vytvořili uživatelský objekt New-ADUser a organizační jednotku. Další informace o blokování dědičnosti zásad skupiny naleznete v tématu Set-GPInheritance.
Spuštěním následujících rutin PowerShellu naimportujte modul Active Directory a přiřaďte požadovaná oprávnění:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
Požadované záznamy DNS
Pokud server DNS nepodporuje zabezpečené dynamické aktualizace, musíte před nasazením místního systému Azure vytvořit požadované záznamy DNS.
Následující tabulka obsahuje požadované záznamy a typy DNS:
| Objekt | Typ |
|---|---|
| Název počítače | Hostitel A |
| Cluster CNO | Hostitel A |
| Shluk VCO | Hostitel A |
Poznámka:
Každý počítač, který se stane součástí místního systému Azure, vyžaduje záznam DNS.
Příklad – ověření existence záznamu DNS
Pokud chcete ověřit, že záznam DNS existuje, spusťte následující příkaz:
nslookup "machine name"
Nepropojený obor názvů
Nespojený jmenný prostor nastane v případě, že primární přípona DNS jednoho nebo více počítačů, které jsou členy domény, neodpovídá názvu DNS jejich domény Active Directory. Pokud má například počítač název DNS corp.contoso.com, ale je součástí domény služby Active Directory s názvem na.corp.contoso.com, používá oddělený obor názvů.
Před nasazením místní instance Azure musíte:
- Připojte příponu DNS k adaptéru pro správu každého uzlu. Přípona DNS se musí shodovat s názvem domény služby Active Directory.
- Ověřte, že můžete přeložit název hostitele na plně kvalifikovaný název domény (FQDN) služby Active Directory.
Příklad – připojení přípony DNS
Pokud chcete připojit příponu DNS, spusťte následující příkaz:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
Příklad převést název hostitele na plně kvalifikovaný název domény
Pokud chcete přeložit název hostitele na plně kvalifikovaný název domény, spusťte následující příkaz:
nslookup node1.na.corp.contoso.com
Poznámka:
Zásady skupiny nemůžete použít ke konfiguraci seznamu přípon DNS s místní instancí Azure.
Aktualizace s podporou clusteru (CAU)
Aktualizace s podporou clusteru používá klientský přístupový bod (objekt virtuálního počítače), který vyžaduje záznam DNS.
V prostředích, kde dynamické zabezpečené aktualizace nejsou možné, musíte ručně vytvořit objekt virtuálního počítače (VCO). Další informace o tom, jak vytvořit VCO, naleznete v tématu o Předejte objekty počítače clusteru ve službách doménové struktury Active Directory.
Poznámka:
Nezapomeňte v klientovi DNS systému Windows zakázat dynamickou aktualizaci DNS. Toto nastavení je chráněné ovládáním posunu a je integrované do Network ATC. Vytvořte VCO okamžitě po zakázání dynamických aktualizací, abyste se vyhnuli vrácení zpět. Další informace o tom, jak toto chráněné nastavení změnit, najdete v tématu Úprava výchozích hodnot zabezpečení.
Příklad – zákaz dynamické aktualizace
Pokud chcete dynamickou aktualizaci zakázat, spusťte následující příkaz:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
Další kroky
Pokračujte k:
- Stáhněte si software operačního systému Azure Stack HCI.
- Nainstalujte software operačního systému Azure Stack HCI.