Delen via

Active Directory voorbereiden voor implementatie van Azure Local, versie 23H2

  • Artikel

Van toepassing op: Azure Local 2311.2 en hoger

In dit artikel wordt beschreven hoe u uw Active Directory-omgeving voorbereidt voordat u Azure Local, versie 23H2 implementeert.

Active Directory-vereisten voor Azure Local zijn onder andere:

  • Een toegewezen organisatie-eenheid (OE).
  • Overname van groepsbeleid die wordt geblokkeerd voor het toepasselijke groepsbeleidsobject (GPO).
  • Een gebruikersaccount met alle rechten voor de organisatie-eenheid in Active Directory.
  • Machines mogen vóór de implementatie niet aan Active Directory worden toegevoegd.

Notitie

  • U kunt uw bestaande proces gebruiken om te voldoen aan de bovenstaande vereisten. Het script dat in dit artikel wordt gebruikt, is optioneel en wordt geleverd om de voorbereiding te vereenvoudigen.
  • Wanneer overname van groepsbeleid wordt geblokkeerd op organisatie-eenheidsniveau, worden groepsbeleidsobjecten waarvoor afgedwongen optie is ingeschakeld, niet geblokkeerd. Zorg er, indien van toepassing, voor dat deze GPO's worden geblokkeerd met andere methoden, bijvoorbeeld met behulp van een WMI-filter (Windows Management Instrumentation). Pas het WMI-filter toe op afgedwongen GPO's om computeraccounts voor uw Lokale Azure-exemplaren uit te sluiten van het toepassen van de GPO's. Zodra het filter is toegepast, worden afgedwongen GPO's niet toegepast op basis van de logica die is gedefinieerd in het WMI-filter.

Als u handmatig de vereiste machtigingen voor Active Directory wilt toewijzen, een organisatie-eenheid wilt maken en GPO-overname wilt blokkeren, raadpleegt u de aangepaste Active Directory-configuratie voor uw Lokale Versie 23H2 van Azure.

Vereisten

Active Directory-voorbereidingsmodule

De New-HciAdObjectsPreCreation cmdlet van de PowerShell-module AsHciADArtifactsPreCreationTool wordt gebruikt om Active Directory voor te bereiden op lokale Azure-implementaties. Dit zijn de vereiste parameters die zijn gekoppeld aan de cmdlet:

Parameter Description
-AzureStackLCMUserCredential Een nieuw gebruikersobject dat is gemaakt met de juiste machtigingen voor implementatie. Dit account is hetzelfde als het gebruikersaccount dat wordt gebruikt door de lokale Implementatie van Azure.
Zorg ervoor dat alleen de gebruikersnaam is opgegeven. De naam mag niet de domeinnaam bevatten, bijvoorbeeld contoso\username.
Het wachtwoord moet voldoen aan de lengte- en complexiteitsvereisten. Gebruik een wachtwoord dat minimaal 12 tekens lang is. Het wachtwoord moet ook drie van de vier vereisten bevatten: een kleine letter, een hoofdletter, een cijfer en een speciaal teken.
Zie vereisten voor wachtwoordcomplexiteit voor meer informatie.
De naam mag niet exact hetzelfde zijn als de lokale beheerder.
De naam kan de beheerder gebruiken als gebruikersnaam.
-AsHciOUName Een nieuwe organisatie-eenheid (OE) voor het opslaan van alle objecten voor de lokale Azure-implementatie. Bestaande groepsbeleid en overname worden geblokkeerd in deze organisatie-eenheid om ervoor te zorgen dat er geen conflict met instellingen is. De OE moet worden opgegeven als DN (DN). Zie de indeling van DN-namen voor meer informatie.

Notitie

  • Het -AsHciOUName pad biedt geen ondersteuning voor de volgende speciale tekens binnen het pad: &,",',<,>.
  • Nadat de implementatie is voltooid, wordt het verplaatsen van de computerobjecten naar een andere organisatie-eenheid niet ondersteund.

Active Directory voorbereiden

Wanneer u Active Directory voorbereidt, maakt u een toegewezen organisatie-eenheid (OE) om de lokale azure-gerelateerde objecten, zoals de implementatiegebruiker, te plaatsen.

Voer de volgende stappen uit om een toegewezen organisatie-eenheid te maken:

  1. Meld u aan bij een computer die is gekoppeld aan uw Active Directory-domein.

  2. Voer PowerShell uit als beheerder.

  3. Voer de volgende opdracht uit om de toegewezen organisatie-eenheid te maken.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Geef de gebruikersnaam en het wachtwoord voor de implementatie op wanneer u hierom wordt gevraagd.

    1. Zorg ervoor dat alleen de gebruikersnaam is opgegeven. De naam mag niet de domeinnaam bevatten, bijvoorbeeld contoso\username. De gebruikersnaam moet tussen 1 en 64 tekens zijn en mag alleen letters, cijfers, afbreekstreepjes en onderstrepingstekens bevatten en mag niet beginnen met een afbreekstreepje of cijfer.
    2. Zorg ervoor dat het wachtwoord voldoet aan de complexiteits- en lengtevereisten. Gebruik een wachtwoord dat minstens 12 tekens lang is en bevat: een kleine letter, een hoofdletter, een cijfer en een speciaal teken.

    Hier volgt een voorbeelduitvoer van een geslaagde voltooiing van het script:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Controleer of de organisatie-eenheid is gemaakt. Als u een Windows Server-client gebruikt, gaat u naar Serverbeheer > Tools > Active Directory.

  6. Er wordt een organisatie-eenheid met de opgegeven naam gemaakt. Deze organisatie-eenheid bevat het nieuwe LCM-implementatiegebruikersaccount.

    Schermopname van het venster Active Directory-computers en -gebruikers.

Notitie

Als u één computer herstelt, verwijdert u de bestaande organisatie-eenheid niet. Als de machinevolumes zijn versleuteld, verwijdert u de BitLocker-herstelsleutels als u de OE verwijdert.

Overwegingen voor grootschalige implementaties

Het LCM-gebruikersaccount (Lifecycle Manager) wordt gebruikt tijdens implementaties van lokale Azure-exemplaren die gebruikmaken van Active Directory (AD) of voor eventuele knooppunt-/herstelbewerkingen voor bestaande exemplaren. Het LCM-gebruikersaccount is verantwoordelijk voor het uitvoeren van acties voor domeindeelname, waardoor de LCM-gebruikersidentiteit gedelegeerde machtigingen heeft om computeraccounts toe te voegen aan de doel-organisatie-eenheid (OE) in het on-premises domein. Tijdens de implementatie van Azure Local wordt het LCM-gebruikersaccount toegevoegd aan de groep lokale beheerders van de fysieke machines.

Om het risico van een gecompromitteerde LCM-gebruikersaccountreferentie te beperken, raden we u aan dat u voor elk lokaal Azure-exemplaar een toegewezen LCM-gebruikersaccount met een uniek wachtwoord hebt.

We raden u aan deze aanbevolen procedures te volgen voor het maken van een organisatie-eenheid:

  • Maak voor elke lokale Instantie van Azure een afzonderlijke organisatie-eenheid in Active Directory. Deze aanpak helpt bij het beheren van computeraccounts, CNO- en LCM-gebruikersaccounts en computeraccounts van fysieke machines binnen het bereik van één organisatie-eenheid voor elk exemplaar.
  • Bij het implementeren van meerdere exemplaren op schaal, voor eenvoudiger beheer:
    • Maak een organisatie-eenheid aan onder een enkele bovenliggende organisatie-eenheid voor elke instantie.
    • Uitschakelen van GPO-overname op het bovenliggende OE-niveau.

De voorgaande aanbevelingen worden geautomatiseerd wanneer u de New-HciAdObjectsPreCreation-cmdlet gebruikt om Active Directory voor te bereiden.

Volgende stappen