Freigeben über


Erstellen einer Sicherheitsgruppe für bewachte Hosts und Registrieren der Gruppe bei HGS

Wichtig

Der AD-Modus ist ab Windows Server 2019 veraltet. Konfigurieren Sie für Umgebungen, in denen der TPM-Nachweis nicht möglich ist, den Hostschlüsselnachweis. Der Hostschlüssel-Nachweis bietet eine ähnliche Sicherheit wie im AD-Modus und ist einfacher einzurichten.

In diesem Thema werden die Zwischenschritte beschrieben, um Hyper-V-Hosts mithilfe Admin vertrauenswürdiger Nachweise (AD-Modus) darauf vorzubereiten, dass sie zu bewachten Hosts werden. Bevor Sie diese Schritte ausführen, führen Sie die Schritte unter Konfigurieren des Fabric-DNS für Hosts aus, die zu überwachten Hosts werden.

Erstellen einer Sicherheitsgruppe und Hinzufügen von Mitgliedern

  1. Erstellen Sie eine neue GLOBALE Sicherheitsgruppe in der Fabricdomäne, und fügen Sie Hyper-V-Hosts hinzu, die abgeschirmte VMs ausführen. Starten Sie die Hosts neu, um ihre Gruppenmitgliedschaft zu aktualisieren.

  2. Verwenden Sie Get-ADGroup, um die Sicherheits-ID (SID) der Sicherheitsgruppe abzurufen und dem HGS-Administrator bereitzustellen.

    Get-ADGroup "Guarded Hosts"
    

    Get-AdGroup-Befehl mit Ausgabe

Registrieren der SID der Sicherheitsgruppe bei HGS

  1. Führen Sie auf einem HGS-Server den folgenden Befehl aus, um die Sicherheitsgruppe bei HGS zu registrieren. Führen Sie den Befehl bei Bedarf für weitere Gruppen erneut aus. Geben Sie einen Anzeigenamen für die Gruppe an. Er muss nicht mit dem Namen der Active Directory-Sicherheitsgruppe übereinstimmen.

    Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"
    
  2. Führen Sie Get-HgsAttestationHostGroup aus, um zu überprüfen, ob die Gruppe hinzugefügt wurde.

Nächster Schritt

Zusätzliche Referenzen