Sdílet prostřednictvím

Vlastní konfigurace Active Directory pro místní Azure verze 23H2

  • Článek

Platí pro: Azure Local 2311.2 a novější

Tento článek popisuje oprávnění a záznamy DNS vyžadované pro místní nasazení Azure verze 23H2. Tento článek také používá příklady s podrobnými kroky, jak ručně přiřadit oprávnění a vytvořit záznamy DNS pro vaše prostředí Active Directory.

Místní řešení Azure je nasazené ve velkých adresářích Active Directory se zavedenými procesy a nástroji pro přiřazování oprávnění. Microsoft poskytuje přípravný skript služby Active Directory, který lze volitelně použít pro místní nasazení Azure. Požadovaná oprávnění pro Službu Active Directory, vytvoření organizační jednotky a blokování dědičnosti objektů zásad skupiny – je možné nakonfigurovat také ručně.

Můžete také zvolit server DNS, který se má použít, například servery Microsoft DNS, které podporují integraci se službou Active Directory, a využívat tak výhody zabezpečených dynamických aktualizací. Pokud se servery DNS Microsoftu nepoužívají, musíte vytvořit sadu záznamů DNS pro nasazení a aktualizaci místního řešení Azure.

Informace o požadavcích služby Active Directory

Tady jsou některé požadavky služby Active Directory pro místní nasazení Azure.

  • K optimalizaci doby dotazování pro zjišťování objektů se vyžaduje vyhrazená organizační jednotka (OU). Tato optimalizace je důležitá pro velké adresáře Active Directory, které pokrývají více lokalit. Tato vyhrazená organizační jednotka se vyžaduje jenom pro objekty počítače a CNO clusteru s podporou převzetí služeb při selhání systému Windows.

  • Uživatel (označovaný také jako uživatel nasazení) vyžaduje potřebná oprávnění pro vyhrazenou organizační strukturu. Uživatel se může nacházet kdekoli v adresáři.

  • Blokování dědičnosti zásad skupiny se vyžaduje, aby nedocházelo ke konfliktům nastavení pocházejících z objektů zásad skupiny. Nový modul zavedený v Azure Local verze 23H2 spravuje výchozí nastavení zabezpečení včetně ochrany posunu. Další informace najdete v tématu Funkce zabezpečení pro místní Azure verze 23H2.

  • Objekty účtu počítače a CNO clusteru je možné předem vytvořit pomocí uživatele nasazení jako alternativu k samotnému nasazení.

Požadována oprávnění

Oprávnění požadovaná objektem uživatele, na který odkazuje jako uživatel nasazení, je vymezena tak, aby byla použitelná pouze pro vyhrazenou organizační jednotky. Oprávnění se dají shrnout jako čtení, vytváření a odstraňování počítačových objektů s možností načíst informace o obnovení BitLockeru.

Tady je tabulka, která obsahuje oprávnění požadovaná pro uživatele nasazení a CNO clusteru přes organizační jednotky a všechny potomkové objekty.

Role Popis přiřazených oprávnění
Uživatel nasazení přes organizační jednotky a všechny potomky objekty Obsah seznamu
Čtení všech vlastností
Oprávnění ke čtení
Vytvořte objekty počítače.
Odstraňte objekty počítače.
Uživatel nasazení přes organizační jednotky, ale použitý pouze u následnických objektů msFVE-Recoveryinformation Úplné řízení.
Obsah seznamu
Čtení všech vlastností
Zapište všechny vlastnosti.
Odstranit.
Oprávnění ke čtení
Umožňuje upravit oprávnění.
Změnit vlastníka
Všechny ověřené zápisy.
CNO clusteru přes organizační jednotky použité u tohoto objektu a všech následnických objektů Čtení všech vlastností
Vytvořit objekty počítače.

Přiřazení oprávnění pomocí PowerShellu

Pomocí rutin PowerShellu můžete přiřadit příslušná oprávnění pro uživatele nasazení přes organizační jednotky. Následující příklad ukazuje, jak můžete přiřadit požadovaná oprávnění uživateli nasazení prostřednictvím organizační jednotky HCI001 , která se nachází v doméně služby Active Directory contoso.com.

Poznámka:

Skript vyžaduje, abyste ve službě Active Directory předem vytvořili objekt uživatele New-ADUser a organizační jednotky . Další informace o blokování dědičnosti zásad skupiny naleznete v tématu Set-GPInheritance.

Spuštěním následujících rutin PowerShellu naimportujte modul Active Directory a přiřaďte požadovaná oprávnění:

#Import required module
import-module ActiveDirectory

#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"

#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow 
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All 
$allObjectType = [System.Guid]::Empty

#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')

#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl

Požadované záznamy DNS

Pokud server DNS nepodporuje zabezpečené dynamické aktualizace, musíte před nasazením místního systému Azure vytvořit požadované záznamy DNS.

Následující tabulka obsahuje požadované záznamy a typy DNS:

Objekt Typ
Název počítače Hostitel A
CNO clusteru Hostitel A
Cluster VCO Hostitel A

Poznámka:

Každý počítač, který se stane součástí místního systému Azure, vyžaduje záznam DNS.

Příklad – ověření existence záznamu DNS

Pokud chcete ověřit, že záznam DNS existuje, spusťte následující příkaz:

nslookup "machine name"

Oddělený obor názvů

Nesouvislý obor názvů nastane v případě, že primární přípona DNS jednoho nebo více členských počítačů domény neodpovídá názvu DNS jejich domény Active Directory. Pokud má například počítač název DNS corp.contoso.com, ale je součástí domény služby Active Directory s názvem na.corp.contoso.com, používá oddělený obor názvů.

Před nasazením místního Prostředí Azure verze 23H2 musíte:

  • Připojte příponu DNS k adaptéru pro správu každého uzlu.
  • Ověřte, že můžete přeložit název hostitele na plně kvalifikovaný název domény služby Active Directory.

Příklad – připojení přípony DNS

Pokud chcete připojit příponu DNS, spusťte následující příkaz:

Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"

Příklad : Překlad názvu hostitele na plně kvalifikovaný název domény

Pokud chcete přeložit název hostitele na plně kvalifikovaný název domény, spusťte následující příkaz:

nslookup node1.na.corp.contoso.com

Poznámka:

Zásady skupiny nemůžete použít ke konfiguraci seznamu přípon DNS s místním Azure verze 23H2.

Aktualizace s podporou clusteru (CAU)

Aktualizace s podporou clusteru používá klientský přístupový bod (objekt virtuálního počítače), který vyžaduje záznam DNS.

V prostředích, kde dynamické zabezpečené aktualizace nejsou možné, musíte ručně vytvořit objekt virtuálního počítače (VCO). Další informace o tom, jak vytvořit VCO, naleznete v tématu Prestage objekty počítače clusteru v Doména služby Active Directory Services.

Poznámka:

Nezapomeňte v klientovi DNS systému Windows zakázat dynamickou aktualizaci DNS. Toto nastavení je chráněné ovládacím prvek posunu a je integrované do síťové ATC. Vytvořte VCO okamžitě po zakázání dynamických aktualizací, abyste se vyhnuli vrácení zpět. Další informace o tom, jak toto chráněné nastavení změnit, najdete v tématu Úprava výchozích hodnot zabezpečení.

Příklad – zákaz dynamické aktualizace

Pokud chcete dynamickou aktualizaci zakázat, spusťte následující příkaz:

Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false

Další kroky

Pokračujte k: