Freigeben über


Vorbereiten von Active Directory für die lokale Bereitstellung von Azure, Version 23H2

Gilt für: Azure Local, Version 23H2

In diesem Artikel wird beschrieben, wie Sie Ihre Active Directory-Umgebung vorbereiten, bevor Sie Azure Local, Version 23H2 bereitstellen.

Zu den Active Directory-Anforderungen für Azure Local gehören:

  • Eine dedizierte Organisationseinheit (OU).
  • Gruppenrichtlinienvererbung, die für das entsprechende Gruppenrichtlinienobjekt (Group Policy Object, GPO) blockiert ist.
  • Ein Benutzerkonto, das alle Rechte für die OU in Active Directory besitzt.
  • Computer dürfen vor der Bereitstellung nicht mit Active Directory verbunden werden.

Hinweis

  • Sie können Ihren vorhandenen Prozess verwenden, um die oben genannten Anforderungen zu erfüllen. Das in diesem Artikel verwendete Skript ist optional und wird bereitgestellt, um die Vorbereitung zu vereinfachen.
  • Wenn die Gruppenrichtlinienvererbung auf OU-Ebene blockiert wird, werden erzwungene Gruppenrichtlinienobjekte nicht blockiert. Stellen Sie sicher, dass alle anwendbaren Gruppenrichtlinienobjekte, die erzwungen werden, auch mit anderen Methoden blockiert werden, z. B. mit WMI-Filtern oder Sicherheitsgruppen.

Informationen zum manuellen Zuweisen der erforderlichen Berechtigungen für Active Directory, Erstellen einer OE und Blockieren der GPO-Vererbung finden Sie unter "Benutzerdefinierte Active Directory-Konfiguration für Ihr lokales Azure, Version 23H2".

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Schritte ausgeführt haben:

Active Directory-Vorbereitungsmodul

Das New-HciAdObjectsPreCreation Cmdlet des AsHciADArtifactsPreCreationTool PowerShell-Moduls wird verwendet, um Active Directory für lokale Azure-Bereitstellungen vorzubereiten. Im Folgenden sind die erforderlichen Parameter aufgeführt, die dem Cmdlet zugeordnet sind:

Parameter Beschreibung
-AzureStackLCMUserCredential Ein neues Benutzerobjekt, das mit den entsprechenden Berechtigungen für die Bereitstellung erstellt wird. Dieses Konto entspricht dem Benutzerkonto, das von der lokalen Azure-Bereitstellung verwendet wird.
Stellen Sie sicher, dass nur der Benutzername angegeben wird. Der Name sollte nicht den Domänennamen enthalten, contoso\usernamez. B. .
Das Kennwort muss den Längen- und Komplexitätsanforderungen entsprechen. Verwenden Sie ein Kennwort, das mindestens 12 Zeichen lang ist. Das Kennwort muss auch drei der vier Anforderungen enthalten: ein Kleinbuchstaben, ein Großbuchstaben, ein Zahlenzeichen und ein Sonderzeichen.
Weitere Informationen finden Sie unter Kennwortkomplexitätsanforderungen.
Der Name kann den Administrator als Benutzernamen verwenden.
-AsHciOUName Eine neue Organisationseinheit (OE), um alle Objekte für die lokale Azure-Bereitstellung zu speichern. Vorhandene Gruppenrichtlinien und Vererbung werden in dieser OU blockiert, um sicherzustellen, dass es keinen Konflikt mit Einstellungen gibt. Die OU muss als Distinguished Name (DN) angegeben werden. Weitere Informationen finden Sie im Format von Distinguished Names.

Hinweis

  • Der -AsHciOUName Pfad unterstützt die folgenden Sonderzeichen nicht an einer beliebigen Stelle im Pfad: &,",',<,>
  • Das Verschieben der Computerobjekte in eine andere OU nach Abschluss der Bereitstellung wird ebenfalls nicht unterstützt.

Vorbereiten von Active Directory

Wenn Sie Active Directory vorbereiten, erstellen Sie eine dedizierte Organisationseinheit (OU), um die lokalen Azure Local-Objekte wie z. B. den Bereitstellungsbenutzer zu platzieren.

Führen Sie die folgenden Schritte aus, um eine dedizierte OU zu erstellen:

  1. Melden Sie sich bei einem Computer an, der ihrer Active Directory-Domäne beigetreten ist.

  2. Führen Sie PowerShell als Administrator aus.

  3. Führen Sie den folgenden Befehl aus, um die dedizierte OU zu erstellen.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
    
    
  4. Wenn Sie dazu aufgefordert werden, geben Sie den Benutzernamen und das Kennwort für die Bereitstellung an.

    1. Stellen Sie sicher, dass nur der Benutzername angegeben wird. Der Name sollte nicht den Domänennamen enthalten, contoso\usernamez. B. . Der Benutzername darf zwischen 1 und 64 Zeichen bestehen und darf nur Buchstaben, Zahlen, Bindestriche und Unterstriche enthalten und darf nicht mit einem Bindestrich oder einer Zahl beginnen.
    2. Stellen Sie sicher, dass das Kennwort komplexitäts- und längenanforderungen erfüllt. Verwenden Sie ein Kennwort, das mindestens 12 Zeichen lang ist und enthält: ein Kleinbuchstaben, ein Großbuchstaben, ein Zahlenzeichen und ein Sonderzeichen.

    Hier ist eine Beispielausgabe aus einem erfolgreichen Abschluss des Skripts:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
    PS C:\work> $user = "ms309deployuser"
    PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
    PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
    PS C:\work>
    
  5. Stellen Sie sicher, dass die OU erstellt wird. Wenn Sie einen Windows Server-Client verwenden, wechseln Sie zu Server-Manager > Tools > Active Directory-Benutzer und -Computer.

  6. Eine OU mit dem angegebenen Namen sollte erstellt werden, und in dieser OU wird der Bereitstellungsbenutzer angezeigt.

    Screenshot des Fensters

Hinweis

Wenn Sie einen einzelnen Computer reparieren, löschen Sie die vorhandene OE nicht. Wenn die Computervolumes verschlüsselt sind, entfernt das Löschen der OE die BitLocker-Wiederherstellungsschlüssel.

Nächste Schritte