Aangepaste Active Directory-configuratie voor uw Lokale Azure-versie 23H2
Van toepassing op: Azure Local, versie 23H2
In dit artikel worden de machtigingen en de DNS-records beschreven die vereist zijn voor de implementatie van Azure Local, versie 23H2. In het artikel worden ook voorbeelden gebruikt met gedetailleerde stappen voor het handmatig toewijzen van machtigingen en het maken van DNS-records voor uw Active Directory-omgeving.
De lokale Azure-oplossing wordt geïmplementeerd in grote Active Directory's met gevestigde processen en hulpprogramma's voor het toewijzen van machtigingen. Microsoft biedt een Active Directory-voorbereidingsscript dat optioneel kan worden gebruikt voor de lokale Azure-implementatie. De vereiste machtigingen voor Active Directory, het maken van de organisatie-eenheid en het blokkeren van overname van GPO's, kunnen allemaal handmatig worden geconfigureerd.
U hebt ook de keuze van de DNS-server die u wilt gebruiken. U kunt bijvoorbeeld Microsoft DNS-servers gebruiken die ondersteuning bieden voor de integratie met Active Directory om te profiteren van beveiligde dynamische updates. Als Microsoft DNS-servers niet worden gebruikt, moet u een set DNS-records maken voor de implementatie en update van de lokale Azure-oplossing.
Over Active Directory-vereisten
Hier volgen enkele Active Directory-vereisten voor de lokale Azure-implementatie.
Een toegewezen organisatie-eenheid (OE) is vereist om querytijden voor de objectdetectie te optimaliseren. Deze optimalisatie is essentieel voor grote Active Directory's die meerdere sites omvatten. Deze toegewezen OE is alleen vereist voor de computerobjecten en de Windows-failovercluster-CNO.
De gebruiker (ook wel implementatiegebruiker genoemd) vereist de benodigde machtigingen voor de toegewezen organisatie-eenheid. De gebruiker kan zich overal in de map bevinden.
Overname van groepsbeleid blokkeren is vereist om conflicten van instellingen die afkomstig zijn van groepsbeleidsobjecten te voorkomen. De nieuwe engine die is geïntroduceerd met Azure Local, versie 23H2 beheert de standaardinstellingen voor beveiliging, waaronder de driftbeveiliging. Zie Beveiligingsfuncties voor Azure Local versie 23H2 voor meer informatie.
Computeraccountobjecten en cluster-CNO kunnen vooraf worden gemaakt met behulp van de implementatiegebruiker als alternatief voor de implementatie zelf die ze maakt.
Vereiste machtigingen
De machtigingen waarnaar wordt verwezen door het gebruikersobject waarnaar wordt verwezen als implementatiegebruiker, is alleen van toepassing op de toegewezen organisatie-eenheid. De machtigingen kunnen worden samengevat als lees-, maak- en verwijdercomputerobjecten met de mogelijkheid om BitLocker-herstelgegevens op te halen.
Hier volgt een tabel met de machtigingen die vereist zijn voor de implementatiegebruiker en het cluster-CNO via de organisatie-eenheid en alle onderliggende objecten.
| Role | Beschrijving van toegewezen machtigingen |
|---|---|
| Implementatiegebruiker via OE en alle onderliggende objecten | Lijstinhoud. Alle eigenschappen lezen. Leesmachtigingen. Computerobjecten maken. Computerobjecten verwijderen. |
| Implementatiegebruiker via organisatie-eenheid, maar alleen toegepast op onderliggende msFVE-Recoveryinformation-objecten | Volledige controle. Lijstinhoud. Alle eigenschappen lezen. Alle eigenschappen schrijven. Verwijderen. Leesmachtigingen. Machtigingen wijzigen. Wijzig de eigenaar. Alle gevalideerde schrijfbewerkingen. |
| Cluster-CNO via de OE die is toegepast op dit object en alle onderliggende objecten | Alle eigenschappen lezen. Computerobjecten maken. |
Machtigingen toewijzen met Behulp van PowerShell
U kunt PowerShell-cmdlets gebruiken om de juiste machtigingen toe te wijzen aan de implementatiegebruiker via organisatie-eenheid. In het volgende voorbeeld ziet u hoe u de vereiste machtigingen kunt toewijzen aan een deploymentuser via de OE HCI001 die zich in het Active Directory-domein bevindt contoso.com.
Notitie
Voor het script moet u het gebruikersobject New-ADUser en de organisatie-eenheid vooraf maken in uw Active Directory. Zie Set-GPInheritance voor meer informatie over het blokkeren van overname van groepsbeleid.
Voer de volgende PowerShell-cmdlets uit om de Active Directory-module te importeren en de vereiste machtigingen toe te wijzen:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
Vereiste DNS-records
Als uw DNS-server geen beveiligde dynamische updates ondersteunt, moet u vereiste DNS-records maken voordat u uw lokale Azure-systeem implementeert.
De volgende tabel bevat de vereiste DNS-records en -typen:
| Object | Type |
|---|---|
| Computernaam | Host A |
| Cluster-CNO | Host A |
| Cluster-VCO | Host A |
Notitie
Elke machine die deel uitmaakt van het lokale Azure-systeem, vereist een DNS-record.
Voorbeeld: controleren of de DNS-record bestaat
Voer de volgende opdracht uit om te controleren of de DNS-record bestaat:
nslookup "machine name"
Niet-aaneengesloten naamruimte
Een niet-aaneengesloten naamruimte treedt op wanneer het primaire DNS-achtervoegsel van een of meer domeinlidcomputers niet overeenkomt met de DNS-naam van hun Active Directory-domein. Als een computer bijvoorbeeld een DNS-naam van corp.contoso.com heeft, maar deel uitmaakt van een Active Directory-domein met de naam na.corp.contoso.com, wordt er een niet-aaneengesloten naamruimte gebruikt.
Voordat u Azure Local implementeert, versie 23H2, moet u het volgende doen:
- Voeg het DNS-achtervoegsel toe aan de beheeradapter van elk knooppunt.
- Controleer of u de hostnaam kunt oplossen naar de FQDN van de Active Directory.
Voorbeeld: het DNS-achtervoegsel toevoegen
Voer de volgende opdracht uit om het DNS-achtervoegsel toe te voegen:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
Voorbeeld: de hostnaam naar de FQDN oplossen
Als u de hostnaam wilt oplossen naar de FQDN, voert u de volgende opdracht uit:
nslookup node1.na.corp.contoso.com
Notitie
U kunt geen groepsbeleid gebruiken om de lijst met DNS-achtervoegsels te configureren met Azure Local, versie 23H2.
Clusterbewust bijwerken (CAU)
Clusterbewust bijwerken past een clienttoegangspunt (Virtual Computer Object) toe waarvoor een DNS-record is vereist.
In omgevingen waar dynamische beveiligde updates niet mogelijk zijn, moet u het Virtual Computer Object (VCO) handmatig maken. Zie Clustercomputerobjecten voorbereiden in Active Directory-domein Services voor meer informatie over het maken van de VCO.
Notitie
Zorg ervoor dat u dynamische DNS-update uitschakelt in de Windows DNS-client. Deze instelling wordt beveiligd door het drift-besturingselement en is ingebouwd in de Netwerk-ATC. Maak de VCO direct na het uitschakelen van dynamische updates om het terugdraaien van driften te voorkomen. Zie Beveiligingsstandaarden wijzigen voor meer informatie over het wijzigen van deze beveiligde instelling.
Voorbeeld: dynamische update uitschakelen
Voer de volgende opdracht uit om dynamische updates uit te schakelen:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
Volgende stappen
Ga verder met: