Compartir vía


Actualización de la contraseña de la identidad de la cuenta de almacenamiento en AD DS

Si registró la cuenta/identidad de Active Directory Domain Services (AD DS) que representa la cuenta de almacenamiento en una unidad organizativa o un dominio que aplica el tiempo de expiración de la contraseña, debe cambiar la contraseña antes de la vigencia máxima de la contraseña. La organización puede ejecutar scripts de limpieza automatizada que eliminen cuentas una vez que expire su contraseña. Por este motivo, si no cambia la contraseña antes de que expire, podría eliminarse la cuenta, lo que hará que pierda el acceso a los recursos compartidos de archivos de Azure.

Para evitar la rotación de contraseñas involuntaria, asegúrese de colocar la cuenta de Azure Storage en una unidad organizativa independiente en AD DS durante la incorporación en el dominio de dicha cuenta. Deshabilite la herencia de directivas de grupo en esta unidad organizativa para evitar que se apliquen directivas de dominio predeterminadas o directivas de contraseñas específicas.

Nota

Una identidad de cuenta de almacenamiento en AD DS puede ser una cuenta de servicio o una cuenta de equipo. Las contraseñas de cuenta de servicio pueden expirar en Active Directory (AD); sin embargo, dado que los cambios en la contraseña de la cuenta de equipo están controlados por la máquina cliente y no por AD, no expiran en AD.

Hay dos opciones para desencadenar la rotación de contraseñas. Puede usar el AzFilesHybrid módulo o PowerShell de Active Directory. Use solo uno de los dos métodos.

Se aplica a

Tipo de recurso compartido de archivos SMB NFS
Recursos compartidos de archivos Estándar (GPv2), LRS/ZRS Sí No
Recursos compartidos de archivos Estándar (GPv2), GRS/GZRS Sí No
Recursos compartidos de archivos Premium (FileStorage), LRS/ZRS Sí No

Opción 1: Usar el módulo AzFilesHybrid

Puede ejecutar el Update-AzStorageAccountADObjectPasswordcmdlet desde el módulo AzFilesHybrid. Debe ejecutar este comando en un entorno local unido a AD DS mediante una identidad híbrida con permiso de propietario en la cuenta de almacenamiento y permisos de AD DS para cambiar la contraseña de la identidad que representa la cuenta de almacenamiento. El comando realiza acciones similares a la rotación de claves de la cuenta de almacenamiento. Concretamente, obtiene la segunda clave Kerberos de la cuenta de almacenamiento y la usa para actualizar la contraseña de la cuenta registrada en AD DS. Luego, vuelve a generar la clave Kerberos de destino de la cuenta de almacenamiento y actualiza la contraseña de la cuenta registrada en AD DS.

# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
        -RotateToKerbKey kerb2 `
        -ResourceGroupName "<your-resource-group-name-here>" `
        -StorageAccountName "<your-storage-account-name-here>"

Esta acción cambiará la contraseña del objeto de AD de kerb1 a kerb2. Esto está pensado para ser un proceso de dos fases: cambie de kerb1 a kerb2 (kerb2 se volverá a generar en la cuenta de almacenamiento antes de establecerse), espere varias horas y, a continuación, vuelva a kerb1 (este cmdlet también volverá a generar kerb1).

Opción 2: Usar PowerShell para Active Directory

Si no desea descargar el AzFilesHybrid módulo, puede usar PowerShell de Active Directory.

Importante

Los cmdlets de PowerShell de Windows Server Active Directory de esta sección deben ejecutarse en Windows PowerShell 5.1 con privilegios elevados. PowerShell 7.x y Azure Cloud Shell no funcionarán en este escenario.

Reemplace el valor<domain-object-identity> en el siguiente script y, a continuación, ejecútelo para actualizar la contraseña del objeto de dominio:

$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force

Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword

Prueba de que la contraseña de la cuenta de AD DS coincide con una clave Kerberos

Ahora que ha actualizado la contraseña de la cuenta de AD DS, puede probarla mediante el siguiente comando de PowerShell.

 Test-AzStorageAccountADObjectPasswordIsKerbKey -ResourceGroupName "<your-resource-group-name>" -Name "<your-storage-account-name>" -Verbose