Aangepaste Active Directory-configuratie voor uw lokale Azure-exemplaar
Van toepassing op: Azure Local 2311.2 en hoger
In dit artikel worden de machtigingen en de DNS-records beschreven die vereist zijn voor de implementatie van het Lokale Azure-exemplaar. In het artikel worden ook voorbeelden gebruikt met gedetailleerde stappen voor het handmatig toewijzen van machtigingen en het maken van DNS-records voor uw Active Directory-omgeving.
De lokale Azure-oplossing wordt geïmplementeerd in grote Active Directory's met gevestigde processen en hulpprogramma's voor het toewijzen van machtigingen. Microsoft biedt een Active Directory-voorbereidingsscript dat optioneel kan worden gebruikt voor de lokale Azure-implementatie. De vereiste machtigingen voor Active Directory, het maken van de organisatie-eenheid en het blokkeren van overname van GPO's, kunnen allemaal handmatig worden geconfigureerd.
U hebt ook de keuze van de DNS-server die u wilt gebruiken. U kunt bijvoorbeeld Microsoft DNS-servers gebruiken die ondersteuning bieden voor de integratie met Active Directory om te profiteren van beveiligde dynamische updates. Als Microsoft DNS-servers niet worden gebruikt, moet u een set DNS-records maken voor de implementatie en update van de lokale Azure-oplossing.
Informatie over Active Directory-vereisten
Hier volgen enkele Active Directory-vereisten voor de lokale Azure-implementatie.
Een toegewezen organisatie-eenheid (OE) is vereist om querytijden voor de objectdetectie te optimaliseren. Deze optimalisatie is essentieel voor grote Active Directory's die meerdere sites omvatten. Deze specifieke OE is alleen vereist voor de computerobjecten en de Windows-failovercluster CNO.
De gebruiker (ook wel implementatiegebruiker genoemd) vereist de benodigde machtigingen voor de toegewezen organisatie-eenheid. De gebruiker kan zich overal in de map bevinden.
Overname van groepsbeleid blokkeren is vereist om conflicten van instellingen die afkomstig zijn van groepsbeleidsobjecten te voorkomen. De nieuwe engine die is geïntroduceerd met Azure Local beheert standaardinstellingen voor beveiliging, waaronder de driftbeveiliging. Zie Beveiligingsfuncties voor azure Local Instancevoor meer informatie.
Computeraccountobjecten en cluster-CNO kunnen vooraf worden gemaakt met behulp van de implementatiegebruiker als alternatief voor de implementatie zelf die ze maakt.
Vereiste toestemmingen
De permissies die nodig zijn voor het gebruikersobject dat als implementatiegebruiker wordt aangeduid, zijn alleen van toepassing op de specifieke organisatie-eenheid. De machtigingen kunnen worden samengevat als lees-, maak- en verwijdercomputerobjecten met de mogelijkheid om BitLocker-herstelgegevens op te halen.
Hier volgt een tabel met de machtigingen die vereist zijn voor de gebruiker voor implementatie en de cluster CNO over de organisatie-eenheid en alle onderliggende objecten.
| Rol | Beschrijving van toegewezen machtigingen |
|---|---|
| Implementatiegebruiker van OU en alle onderliggende objecten | Lijstinhoud. Lees alle eigenschappen. Leesmachtigingen. Computerobjecten maken. Computerobjecten verwijderen. |
| Gebruiker voor implementatie boven organisatie-eenheid, maar alleen toegepast op onderliggende msFVE-Recoveryinformation -objecten. | Volledige controle. Lijstinhoud. Lees alle eigenschappen. Alle kenmerken noteren. Verwijderen. Leesmachtigingen. Machtigingen wijzigen. Wijzig de eigenaar. Alle gevalideerde schrijfbewerkingen. |
| Cluster-CNO over de Organisatie-eenheid toegepast op dit object en alle onderliggende objecten | Alle eigenschappen lezen. Computerobjecten maken. |
Machtigingen toewijzen met Behulp van PowerShell
U kunt PowerShell-cmdlets gebruiken om de juiste machtigingen toe te wijzen aan de implementatiegebruiker voor de organisatie-eenheid. In het volgende voorbeeld ziet u hoe u de vereiste machtigingen kunt toewijzen aan een deploymentuser via de OE HCI001 die zich in het Active Directory-domein bevindt contoso.com.
Notitie
Voor het script moet u de gebruikersobjecten New-ADUser en OU vooraf maken in uw Active Directory. Zie Set-GPInheritance voor meer informatie over het blokkeren van overname van groepsbeleid.
Voer de volgende PowerShell-cmdlets uit om de Active Directory-module te importeren en de vereiste machtigingen toe te wijzen:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
Vereiste DNS-records
Als uw DNS-server geen beveiligde dynamische updates ondersteunt, moet u vereiste DNS-records maken voordat u uw lokale Azure-systeem implementeert.
De volgende tabel bevat de vereiste DNS-records en -typen:
| Object | Type |
|---|---|
| Computernaam | Host A |
| Cluster CNO | Host A |
| Cluster VCO | Host A |
Notitie
Elke machine die deel uitmaakt van het lokale Azure-systeem, vereist een DNS-record.
Voorbeeld: controleren of de DNS-record bestaat
Voer de volgende opdracht uit om te controleren of de DNS-record bestaat:
nslookup "machine name"
Losstaande naamruimte
Een niet-aaneengesloten naamruimte treedt op wanneer het primaire DNS-achtervoegsel van een of meer domeinlidcomputers niet overeenkomt met de DNS-naam van hun Active Directory-domein. Als een computer bijvoorbeeld een DNS-naam van corp.contoso.com heeft, maar deel uitmaakt van een Active Directory-domein met de naam na.corp.contoso.com, wordt er een niet-aaneengesloten naamruimte gebruikt.
Voordat u een lokaal Azure-exemplaar implementeert, moet u het volgende doen:
- Voeg het DNS-achtervoegsel toe aan de beheeradapter van elk knooppunt. Het DNS-achtervoegsel moet overeenkomen met de Active Directory-domeinnaam.
- Controleer of u de hostnaam kunt herleiden naar de FQDN van de Active Directory.
Voorbeeld: het DNS-achtervoegsel toevoegen
Voer de volgende opdracht uit om het DNS-achtervoegsel toe te voegen:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
Voorbeeld: los de hostnaam op tot de FQDN
Als u de hostnaam wilt oplossen naar de FQDN, voert u de volgende opdracht uit:
nslookup node1.na.corp.contoso.com
Notitie
U kunt geen groepsbeleid gebruiken om de lijst met DNS-achtervoegsels te configureren met een lokaal Azure-exemplaar.
Clusterbewust bijwerken (CAU)
Clusterbewust bijwerken past een clienttoegangspunt (Virtual Computer Object) toe waarvoor een DNS-record is vereist.
In omgevingen waar dynamische beveiligde updates niet mogelijk zijn, moet u het Virtual Computer Object (VCO) handmatig maken. Zie Clustercomputerobjecten voorbereiden in Active Directory-domein Services voor meer informatie over het maken van de VCO.
Notitie
Zorg ervoor dat u dynamische DNS-update uitschakelt in de Windows DNS-client. Deze instelling wordt beveiligd door het drift-besturingselement en is ingebouwd in de Netwerk-ATC. Maak de VCO direct nadat dynamische updates zijn uitgeschakeld om het terugdraaien van veranderingen te voorkomen. Zie Beveiligingsstandaarden wijzigen voor meer informatie over het wijzigen van deze beveiligde instelling.
Voorbeeld: dynamische update uitschakelen
Voer de volgende opdracht uit om dynamische updates uit te schakelen:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
Volgende stappen
Ga verder met: