Partager via


Préparer Active Directory pour le déploiement Azure Local version 23H2

S’applique à : Azure Local, version 23H2

Cet article explique comment préparer votre environnement Active Directory avant de déployer Azure Local version 23H2.

Les exigences d’Active Directory pour Azure Local sont les suivantes :

  • Unité d’organisation dédiée (UO).
  • Héritage de stratégie de groupe bloqué pour l’objet de stratégie de groupe applicable.
  • Un compte d’utilisateur disposant de tous les droits relatifs à l’unité d’organisation dans Active Directory.
  • Les machines ne doivent pas être jointes à Active Directory avant le déploiement.

Remarque

  • Vous pouvez utiliser votre processus existant pour répondre aux exigences ci-dessus. Le script utilisé dans cet article est facultatif et est fourni pour simplifier la préparation.
  • Lorsque l’héritage de stratégie de groupe est bloqué au niveau de l’unité d’organisation, les objets de stratégie de groupe appliqués ne sont pas bloqués. Vérifiez que tous les objets de stratégie de groupe applicables, appliqués, sont également bloqués à l’aide d’autres méthodes, par exemple à l’aide de filtres WMI ou de groupes de sécurité.

Pour affecter manuellement les autorisations requises pour Active Directory, créez une unité d’organisation et bloquez l’héritage des objets de stratégie de groupe, consultez la configuration d’Active Directory personnalisée pour votre instance Azure Local, version 23H2.

Prérequis

Avant de commencer, vérifiez que vous avez effectué les opérations suivantes :

Module de préparation Active Directory

L’applet New-HciAdObjectsPreCreation de commande du module PowerShell AsHciADArtifactsPreCreationTool est utilisée pour préparer Active Directory pour les déploiements locaux Azure. Voici les paramètres requis associés à l’applet de commande :

Paramètre Description
-AzureStackLCMUserCredential Objet utilisateur créé avec les autorisations appropriées pour le déploiement. Ce compte est identique au compte d’utilisateur utilisé par le déploiement local Azure.
Assurez-vous que seul le nom d’utilisateur est fourni. Le nom ne doit pas inclure le nom de domaine, par exemple contoso\username.
Le mot de passe doit être conforme aux exigences de longueur et de complexité. Utilisez un mot de passe d’au moins 12 caractères. Le mot de passe doit également contenir trois des quatre exigences : un caractère minuscule, un caractère majuscule, un chiffre et un caractère spécial.
Pour plus d’informations, consultez les exigences de complexité du mot de passe.
Le nom peut utiliser l’administrateur comme nom d’utilisateur.
-AsHciOUName Nouvelle unité d’organisation (UO) pour stocker tous les objets du déploiement local Azure. Les stratégies de groupe et l’héritage existants sont bloquées dans cette unité d’organisation pour s’assurer qu’il n’existe aucun conflit de paramètres. L’unité d’organisation doit être spécifiée en tant que nom unique (DN). Pour plus d’informations, consultez le format des noms uniques.

Remarque

  • Le -AsHciOUName chemin d’accès ne prend pas en charge les caractères spéciaux suivants n’importe où dans le chemin d’accès : &,",',<,>.
  • Le déplacement des objets ordinateur vers une unité d’organisation différente une fois le déploiement terminé n’est pas non plus pris en charge.

Préparation du système Active Directory

Lorsque vous préparez Active Directory, vous créez une unité d’organisation dédiée pour placer les objets locaux Azure tels que l’utilisateur de déploiement.

Pour créer une unité d’organisation dédiée, procédez comme suit :

  1. Connectez-vous à un ordinateur joint à votre domaine Active Directory.

  2. Démarrez PowerShell en tant qu'administrateur.

  3. Exécutez la commande suivante pour créer l’unité d’organisation dédiée.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
    
    
  4. Lorsque vous y êtes invité, indiquez le nom d’utilisateur et le mot de passe du déploiement.

    1. Assurez-vous que seul le nom d’utilisateur est fourni. Le nom ne doit pas inclure le nom de domaine, par exemple contoso\username. Le nom d’utilisateur doit comporter entre 1 et 64 caractères et contenir uniquement des lettres, des chiffres, des traits d’union et des traits de soulignement et ne peut pas commencer par un trait d’union ou un nombre.
    2. Assurez-vous que le mot de passe répond aux exigences de complexité et de longueur. Utilisez un mot de passe d’au moins 12 caractères et contient : un caractère minuscule, un caractère majuscule, un chiffre et un caractère spécial.

    Voici un exemple de sortie à partir d’une fin réussie du script :

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
    PS C:\work> $user = "ms309deployuser"
    PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
    PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
    PS C:\work>
    
  5. Vérifiez que l’unité d’organisation est créée. Si vous utilisez un client Windows Server, accédez à Gestionnaire de serveur > Outils > Utilisateurs et ordinateurs Active Directory.

  6. Une unité d’organisation portant le nom spécifié doit être créée et dans cette unité d’organisation, vous verrez l’utilisateur de déploiement.

    Capture d’écran de la fenêtre Ordinateurs et utilisateurs Active Directory.

Remarque

Si vous réparez un seul ordinateur, ne supprimez pas l’unité d’organisation existante. Si les volumes de l’ordinateur sont chiffrés, la suppression de l’unité d’organisation supprime les clés de récupération BitLocker.

Étapes suivantes