Udostępnij za pośrednictwem

Przygotowywanie usługi Active Directory do wdrożenia usługi Azure Local w wersji 23H2

  • Artykuł

Dotyczy: Azure Local 2311.2 i nowsze

W tym artykule opisano sposób przygotowania środowiska usługi Active Directory przed wdrożeniem usługi Azure Local w wersji 23H2.

Wymagania usługi Active Directory dotyczące usługi Azure Local obejmują:

  • Dedykowana jednostka organizacyjna (OU).
  • Dziedziczenie zasad grupy, które jest zablokowane dla odpowiedniego obiektu zasad grupy (GPO).
  • Konto użytkownika, które ma wszystkie prawa do jednostki organizacyjnej w usłudze Active Directory.
  • Maszyny nie mogą być przyłączone do usługi Active Directory przed wdrożeniem.

Uwaga

  • Możesz użyć istniejącego procesu, aby spełnić powyższe wymagania. Skrypt używany w tym artykule jest opcjonalny i jest udostępniany w celu uproszczenia przygotowania.
  • Gdy dziedziczenie zasad grupy jest blokowane na poziomie jednostki organizacyjnej, obiekty zasad grupy z włączoną wymuszoną opcją nie są blokowane. Jeśli ma to zastosowanie, upewnij się, że te obiekty zasad grupy są blokowane przy użyciu innych metod, na przykład przy użyciu filtru Instrumentacja zarządzania Windows (WMI). Zastosuj filtr WMI do wszystkich wymuszonych obiektów zasad grupy, aby wykluczyć konta komputerów komputerów dla wystąpień lokalnych platformy Azure z stosowania obiektów zasad grupy. Po zastosowaniu filtru wymuszone obiekty zasad grupy nie będą stosowane zgodnie z logiką określoną w filtrze WMI.

Aby ręcznie przypisać wymagane uprawnienia do usługi Active Directory, utworzyć jednostkę organizacyjną i zablokować dziedziczenie obiektu zasad grupy, zobacz Niestandardowa konfiguracja usługi Active Directory dla lokalnej wersji 23H2 platformy Azure.

Wymagania wstępne

Moduł przygotowywania usługi Active Directory

Polecenie New-HciAdObjectsPreCreation cmdlet modułu AsHciADArtifactsPreCreationTool programu PowerShell służy do przygotowywania usługi Active Directory do wdrożeń lokalnych platformy Azure. Poniżej przedstawiono wymagane parametry skojarzone z poleceniem cmdlet:

Parametr Opis
-AzureStackLCMUserCredential Nowy obiekt użytkownika utworzony z odpowiednimi uprawnieniami do wdrożenia. To konto jest takie samo jak konto użytkownika używane przez wdrożenie lokalne platformy Azure.
Upewnij się, że podano tylko nazwę użytkownika. Nazwa nie powinna zawierać nazwy domeny, na przykład contoso\username.
Hasło musi być zgodne z wymaganiami dotyczącymi długości i złożoności. Użyj hasła, które ma długość co najmniej 12 znaków. Hasło musi również zawierać trzy z czterech wymagań: małe litery, wielkie litery, cyfrę i znak specjalny.
Aby uzyskać więcej informacji, zobacz wymagania dotyczące złożoności haseł.
Nazwa nie może być dokładnie taka sama jak użytkownik administratora lokalnego.
Nazwa może używać administratora jako nazwy użytkownika.
-AsHciOUName Nowa jednostka organizacyjna do przechowywania wszystkich obiektów dla wdrożenia lokalnego platformy Azure. Istniejące zasady grupy i dziedziczenie są blokowane w tej jednostki organizacyjnej, aby upewnić się, że nie ma konfliktu ustawień. Jednostka organizacyjna musi być określona jako nazwa wyróżniająca (DN). Aby uzyskać więcej informacji, zobacz format nazw wyróżniających.

Uwaga

  • Ścieżka -AsHciOUName nie obsługuje następujących znaków specjalnych w dowolnym miejscu w ścieżce: &,",',<,>.
  • Po zakończeniu wdrażania przenoszenie obiektów komputera do innej jednostki organizacyjnej nie jest obsługiwane.

Przygotowywanie usługi Active Directory

Podczas przygotowywania usługi Active Directory należy utworzyć dedykowaną jednostkę organizacyjną (OU), aby umieścić obiekty pokrewne platformy Azure, takie jak użytkownik wdrożenia.

Aby utworzyć dedykowaną jednostkę organizacyjną, wykonaj następujące kroki:

  1. Zaloguj się do komputera przyłączonego do domeny usługi Active Directory.

  2. Uruchom program PowerShell jako administrator.

  3. Uruchom następujące polecenie, aby utworzyć dedykowaną jednostkę organizacyjną.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Po wyświetleniu monitu podaj nazwę użytkownika i hasło wdrożenia.

    1. Upewnij się, że podano tylko nazwę użytkownika. Nazwa nie powinna zawierać nazwy domeny, na przykład contoso\username. Nazwa użytkownika musi zawierać od 1 do 64 znaków i zawierać tylko litery, cyfry, łączniki i podkreślenia, a nie może zaczynać się od łącznika lub liczby.
    2. Upewnij się, że hasło spełnia wymagania dotyczące złożoności i długości. Użyj hasła o długości co najmniej 12 znaków i zawiera: małe litery, wielkie litery, cyfrę i znak specjalny.

    Oto przykładowe dane wyjściowe z pomyślnego ukończenia skryptu:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Sprawdź, czy jednostka organizacyjna została utworzona. Jeśli używasz klienta systemu Windows Server, przejdź do Menedżer serwera Tools > Użytkownicy i komputery usługi Active Directory>.

  6. Jednostka organizacyjna o określonej nazwie jest tworzona. Ta OU zawiera nowe konto użytkownika do wdrożeń LCM.

    Zrzut ekranu przedstawiający okno Komputery i użytkownicy usługi Active Directory.

Uwaga

Jeśli naprawiasz jedną maszynę, nie usuwaj istniejącej jednostki organizacyjnej. Jeśli woluminy maszyny są szyfrowane, usunięcie jednostki organizacyjnej spowoduje usunięcie kluczy odzyskiwania funkcji BitLocker.

Zagadnienia dotyczące wdrożeń na dużą skalę

Konto użytkownika menedżera cyklu życia (LCM) jest wykorzystywane podczas wdrażania lokalnych wystąpień platformy Azure z użyciem usługi Active Directory (AD) lub do operacji dodawania węzłów czy naprawy istniejących wystąpień. Konto użytkownika LCM jest odpowiedzialne za wykonywanie akcji przyłączania do domeny, co wymaga tożsamości użytkownika LCM z delegowanymi uprawnieniami do dodawania kont komputerów do docelowej jednostki organizacyjnej (OU) w domenie lokalnej. Podczas wdrażania usługi Azure Local konto użytkownika LCM jest dodawane do lokalnej grupy administratorów maszyn fizycznych.

Aby ograniczyć ryzyko naruszenia bezpieczeństwa poświadczeń konta użytkownika LCM, zalecamy, aby dla każdego wystąpienia lokalnego platformy Azure było używane dedykowane konto użytkownika LCM z unikatowym hasłem.

Zalecamy stosowanie następujących najlepszych rozwiązań dotyczących tworzenia jednostki organizacyjnej:

  • Dla każdego wystąpienia lokalnego platformy Azure utwórz pojedynczą jednostkę organizacyjną w usłudze Active Directory. Takie podejście ułatwia zarządzanie kontami komputerów, obiektami CNO, kontem użytkownika LCM i kontami komputerów fizycznych w zakresie pojedynczej jednostki organizacyjnej dla każdego wystąpienia.
  • Aby ułatwić zarządzanie przy wdrażaniu wielu wystąpień na dużą skalę, wykonaj następujące kroki:
    • Utwórz jednostkę organizacyjną w ramach pojedynczej nadrzędnej jednostki organizacyjnej dla każdego wystąpienia.
    • Wyłącz dziedziczenie GPO na poziomie nadrzędnej jednostki organizacyjnej.

Poprzednie zalecenia są zautomatyzowane, kiedy używasz polecenia cmdlet New-HciAdObjectsPreCreation do przygotowania usługi Active Directory.

Następne kroki

  • Pobierz system operacyjny Azure Stack HCI w wersji 23H2 na każdej maszynie w systemie.