Preparare Active Directory per la distribuzione locale di Azure, versione 23H2

Si applica a: Azure Local 2311.2 e versioni successive

Questo articolo descrive come preparare l'ambiente Active Directory prima di distribuire Azure Local, versione 23H2.

I requisiti di Active Directory per Azure Local includono:

• Unità organizzativa dedicata.
• Ereditarietà dei criteri di gruppo bloccata per l'oggetto Criteri di gruppo applicabile.
• Un account utente con tutti i diritti per l'unità organizzativa in Active Directory.
• I computer non devono essere aggiunti ad Active Directory prima della distribuzione.

Nota

• È possibile usare il processo esistente per soddisfare i requisiti precedenti. Lo script usato in questo articolo è facoltativo e viene fornito per semplificare la preparazione.
• Quando l'ereditarietà dei criteri di gruppo è bloccata a livello di unità organizzativa, gli oggetti Criteri di gruppo con l'opzione forzata abilitata non sono bloccati. Se applicabile, assicurarsi che questi oggetti Criteri di gruppo siano bloccati usando altri metodi, ad esempio usando un filtro WMI (Windows Management Instrumentation) . Applicare il filtro WMI a qualsiasi oggetto Criteri di gruppo forzato, per escludere gli account computer delle macchine per le istanze locali di Azure dall'applicazione degli oggetti Criteri di gruppo. Una volta applicato il filtro, gli oggetti Criteri di gruppo forzati non verranno applicati, in base alla logica definita nel filtro WMI.

Per assegnare manualmente le autorizzazioni necessarie per Active Directory, creare un'unità organizzativa e bloccare l'ereditarietà degli oggetti Criteri di gruppo, vedere Configurazione di Active Directory personalizzata per l'istanza locale di Azure, versione 23H2.

Prerequisiti

• Completare i prerequisiti per le nuove distribuzioni di Azure Locale.

• Installare la versione 2402 del modulo 'AsHciADArtifactsPreCreationTool'. Eseguire il comando seguente per installare il modulo da PowerShell Gallery:

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Nota

  Assicurarsi di disinstallare le versioni precedenti del modulo prima di installare la nuova versione.

• Sono necessarie le autorizzazioni per creare un'unità organizzativa. Se non si dispone delle autorizzazioni, contattare l'amministratore di Active Directory.

• Se si dispone di un firewall tra il sistema locale di Azure e Active Directory, assicurarsi che siano configurate le regole del firewall appropriate. Per indicazioni specifiche, vedere Requisiti del firewall per Servizi Web Active Directory e Servizio di gestione gateway Active Directory. Vedere anche Come configurare un firewall per domini e trust di Active Directory.

Modulo di preparazione di Active Directory

Il New-HciAdObjectsPreCreation cmdlet del modulo PowerShell AsHciADArtifactsPreCreationTool viene usato per preparare Active Directory per le distribuzioni locali di Azure. Ecco i parametri obbligatori associati al cmdlet :

Parametro	Descrizione
-AzureStackLCMUserCredential	Nuovo oggetto utente creato con le autorizzazioni appropriate per la distribuzione. Questo account corrisponde all'account utente usato dalla distribuzione locale di Azure. Assicurarsi che sia specificato solo il nome utente. Il nome non deve includere il nome di dominio, ad esempio contoso\username. La password deve essere conforme ai requisiti di lunghezza e complessità. Usare una password lunga almeno 12 caratteri. La password deve contenere anche tre dei quattro requisiti: un carattere minuscolo, un carattere maiuscolo, un numero e un carattere speciale. Per altre informazioni, vedere Requisiti di complessità delle password. Il nome non può essere esattamente uguale all'utente amministratore locale. Il nome può usare admin come nome utente.
-AsHciOUName	Nuova unità organizzativa (OU) per archiviare tutti gli oggetti per la distribuzione locale di Azure. I criteri di gruppo e l'ereditarietà esistenti vengono bloccati in questa unità organizzativa per assicurarsi che non vi sia alcun conflitto di impostazioni. L'unità organizzativa deve essere specificata come nome distinto (DN). Per altre informazioni, vedere il formato dei nomi distinti.

Nota

• Il -AsHciOUName percorso non supporta i caratteri speciali seguenti all'interno del percorso: &,",',<,>.
• Al termine della distribuzione, lo spostamento degli oggetti del computer verso un'altra unità organizzativa non è supportato.

Preparare Active Directory

Quando si prepara Active Directory, si crea un'unità organizzativa dedicata per inserire gli oggetti correlati a Locale di Azure, ad esempio l'utente di distribuzione.

Per creare un'unità organizzativa dedicata, seguire questa procedura:

1. Accedere a un computer aggiunto al dominio di Active Directory.

2. Eseguire PowerShell come amministratore.

3. Eseguire il comando seguente per creare l'unità organizzativa dedicata.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. Quando richiesto, specificare il nome utente e la password per la distribuzione.

   1. Assicurarsi che sia specificato solo il nome utente. Il nome non deve includere il nome di dominio, ad esempio contoso\username. Il nome utente deve essere compreso tra 1 e 64 caratteri e contenere solo lettere, numeri, trattini e caratteri di sottolineatura e potrebbe non iniziare con un trattino o un numero.
   2. Assicurarsi che la password soddisfi i requisiti di complessità e lunghezza. Usare una password lunga almeno 12 caratteri e contiene: un carattere minuscolo, un carattere maiuscolo, un numero e un carattere speciale.

   Di seguito è riportato un output di esempio di completamento dello script:

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Verificare che l'unità organizzativa sia stata creata. Se si usa un client Windows Server, passare a Strumenti > di Server Manager > Utenti e computer di Active Directory.

6. Viene creata un'unità organizzativa con il nome specificato. Questa unità organizzativa contiene il nuovo account utente di distribuzione LCM.

   

Nota

Se si ripara un singolo computer, non eliminare l'unità organizzativa esistente. Se i volumi del computer sono crittografati, l'eliminazione dell'unità organizzativa rimuove le chiavi di ripristino di BitLocker.

Considerazioni sulle distribuzioni su larga scala

L'account utente di Lifecycle Manager (LCM) viene usato durante le distribuzioni di istanze locali di Azure che usano Active Directory (AD) o per eventuali operazioni di aggiunta/ripristino per le istanze esistenti. L'account utente del Gestore di Configurazione Locale è responsabile dell'esecuzione di azioni di join al dominio, il che richiede che l'identità utente del Gestore di Configurazione Locale abbia autorizzazioni delegate per aggiungere account computer all'unità organizzativa di destinazione nel dominio locale. Durante la distribuzione di Azure Locale, l'account utente di gestione della configurazione locale viene aggiunto al gruppo di amministratori locali dei computer fisici.

Per ridurre il rischio di una credenziale dell'account utente di Gestione configurazione locale compromessa, è consigliabile che per ogni istanza locale di Azure sia disponibile un account utente di Gestione configurazione locale dedicato con una password univoca.

È consigliabile seguire queste migliori pratiche per la creazione di unità organizzative.

• Per ogni istanza locale di Azure, creare una singola unità organizzativa all'interno di Active Directory. Questo approccio consente di gestire account computer, CNO, account utente gestione configurazione locale e account computer computer fisici nell'ambito di una singola unità organizzativa per ogni istanza.
• Quando si distribuiscono più istanze su larga scala, per semplificare la gestione:
  • Creare un'unità organizzativa (OU) sotto un'unica OU padre per ogni istanza.
  • Disabilitare l'ereditarietà degli oggetti dei Criteri di gruppo nel livello di unità organizzativa padre.

Le raccomandazioni precedenti vengono automatizzate quando si usa il cmdlet New-HciAdObjectsPreCreation per Preparare Active Directory.

Passaggi successivi

• Scaricare il sistema operativo Azure Stack HCI versione 23H2 in ogni computer del sistema.