Sdílet prostřednictvím

Aktualizace hesla identity účtu úložiště ve službě AD DS

  • Článek

Pokud jste zaregistrovali identitu nebo účet služby Doména služby Active Directory Services (AD DS), který představuje váš účet úložiště v organizační jednotce nebo doméně, která vynucuje dobu vypršení platnosti hesla, musíte heslo změnit před maximálním stářím hesla. Vaše organizace může spouštět automatizované skripty čištění, které odstraní účty, jakmile vyprší platnost hesla. Pokud kvůli tomu heslo ještě před vypršením platnosti nezměníte, můžete svůj účet odstranit, což způsobí ztrátu přístupu ke sdíleným složkám Azure.

Abyste zabránili nezamýšlené obměně hesel, nezapomeňte během onboardingu účtu úložiště Azure v doméně umístit účet úložiště Azure do samostatné organizační jednotky ve službě AD DS. Zakažte dědičnost zásad skupiny v této organizační jednotce, abyste zabránili použití výchozích zásad domény nebo konkrétních zásad hesel.

Poznámka:

Identita účtu úložiště ve službě AD DS může být buď účet služby, nebo účet počítače. Platnost hesel účtu služby může vypršet ve službě Active Directory (AD); Vzhledem k tomu, že změny hesla účtu počítače jsou řízeny klientským počítačem, a ne AD, nevyprší platnost v AD.

Existují dvě možnosti aktivace obměny hesel. Můžete použít AzFilesHybrid modul nebo Active Directory PowerShell. Použijte jednu metodu, ne obě.

Platí pro

Typ sdílené složky SMB NFS
Sdílené složky úrovně Standard (GPv2), LRS/ZRS Yes No
Sdílené složky úrovně Standard (GPv2), GRS/GZRS Yes No
Sdílené složky úrovně Premium (FileStorage), LRS/ZRS Yes No

Možnost 1: Použití modulu AzFilesHybrid

Rutinu Update-AzStorageAccountADObjectPassword můžete spustit z modulu AzFilesHybrid. Tento příkaz musíte spustit v místním prostředí připojeném službou AD DS hybridní identitou s oprávněním vlastníka k účtu úložiště a oprávnění služby AD DS ke změně hesla identity představující účet úložiště. Tato rutina provede podobné akce jako při obměně klíčů účtu úložiště. Získá druhý klíč Kerberos účtu úložiště a použije ho k aktualizaci hesla registrovaného účtu v AD. Pak znovu vygeneruje cílový klíč Kerberos účtu úložiště a aktualizuje heslo registrovaného účtu v AD.

# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
        -RotateToKerbKey kerb2 `
        -ResourceGroupName "<your-resource-group-name-here>" `
        -StorageAccountName "<your-storage-account-name-here>"

Tato akce změní heslo pro objekt AD z kerb1 na kerb2. Má se jednat o dvoufázový proces: Obměnit z kerb1 na kerb2(před nastavením se v účtu úložiště vygeneruje kerb2), několik hodin počkat a pak obměnit zpět na Kerb1 (tato rutina také vygeneruje kerb1).

Možnost 2: Použití Prostředí Active Directory PowerShell

Pokud si modul nechcete stáhnout AzFilesHybrid , můžete použít Active Directory PowerShell.

Důležité

Rutiny prostředí Windows Server Active Directory PowerShell v této části musí být spuštěny v prostředí Windows PowerShell 5.1 se zvýšenými oprávněními. PowerShell 7.x a Azure Cloud Shell v tomto scénáři nebudou fungovat.

Nahraďte <domain-object-identity> následující skript hodnotou a pak spusťte skript pro aktualizaci hesla objektu domény:

$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force

Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword

Otestujte, že heslo účtu SLUŽBY AD DS odpovídá klíči Kerberos.

Teď, když jste aktualizovali heslo účtu služby AD DS, můžete ho otestovat pomocí následujícího příkazu PowerShellu.

 Test-AzStorageAccountADObjectPasswordIsKerbKey -ResourceGroupName "<your-resource-group-name>" -Name "<your-storage-account-name>" -Verbose