Atualizar a palavra-passe da identidade da sua conta de armazenamento no AD DS
Se registou a identidade/conta dos Serviços de Domínio Ative Directory (AD DS) que representa a sua conta de armazenamento numa unidade organizacional ou domínio que impõe o tempo de expiração da palavra-passe, tem de alterar a palavra-passe antes da idade máxima da palavra-passe. Sua organização pode executar scripts de limpeza automatizados que excluem contas assim que a senha expirar. Por isso, se você não alterar sua senha antes que ela expire, sua conta poderá ser excluída, o que fará com que você perca o acesso aos seus compartilhamentos de arquivos do Azure.
Para evitar a rotação não intencional de senhas, durante a integração da conta de armazenamento do Azure no domínio, certifique-se de colocar a conta de armazenamento do Azure em uma unidade organizacional separada no AD DS. Desative a herança de Diretiva de Grupo nesta unidade organizacional para impedir que diretivas de domínio padrão ou diretivas de senha específicas sejam aplicadas.
Nota
Uma identidade de conta de armazenamento no AD DS pode ser uma conta de serviço ou uma conta de computador. As senhas de conta de serviço podem expirar no Ative Directory (AD); no entanto, como as alterações de senha da conta de computador são conduzidas pela máquina cliente e não pelo AD, elas não expiram no AD.
Existem duas opções para acionar a rotação de palavras-passe. Você pode usar o módulo ou o AzFilesHybrid
PowerShell do Ative Directory. Utilize um método, não ambos.
Aplica-se a
Tipo de partilhas de ficheiros | SMB | NFS |
---|---|---|
Partilhas de ficheiros Standard (GPv2), LRS/ZRS | ||
Partilhas de ficheiros Standard (GPv2), GRS/GZRS | ||
Partilhas de ficheiros Premium (FileStorage), LRS/ZRS |
Opção 1: Usar o módulo AzFilesHybrid
Você pode executar o Update-AzStorageAccountADObjectPassword
cmdlet a partir do módulo AzFilesHybrid. Você deve executar esse comando em um ambiente local associado ao AD DS por uma identidade híbrida com permissão de proprietário para a conta de armazenamento e permissões do AD DS para alterar a senha da identidade que representa a conta de armazenamento. O comando executa ações semelhantes à rotação da chave da conta de armazenamento. Especificamente, obtém a segunda chave Kerberos da conta de armazenamento e utiliza-a para atualizar a palavra-passe da conta registada no AD DS. Em seguida, regenera a chave Kerberos de destino da conta de armazenamento e atualiza a palavra-passe da conta registada no AD DS.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
Esta ação irá alterar a palavra-passe do objeto do AD de kerb1 para kerb2. Isto destina-se a ser um processo de duas fases: rode do kerb1 para o kerb2 (kerb2 será regenerado na conta de armazenamento antes de ser definido), aguarde várias horas e, em seguida, rode novamente para kerb1 (este cmdlet irá regenerar o kerb1 da mesma forma).
Opção 2: Usar o PowerShell do Ative Directory
Se não quiser baixar o módulo, você pode usar o AzFilesHybrid
PowerShell do Ative Directory.
Importante
Os cmdlets do PowerShell do Ative Directory do Windows Server nesta seção devem ser executados no Windows PowerShell 5.1 com privilégios elevados. O PowerShell 7.x e o Azure Cloud Shell não funcionarão neste cenário.
Substitua <domain-object-identity>
o seguinte script pelo seu valor e, em seguida, execute o script para atualizar a senha do objeto de domínio:
$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword
Teste se a senha da conta do AD DS corresponde a uma chave Kerberos
Agora que você atualizou a senha da conta do AD DS, pode testá-la usando o seguinte comando do PowerShell.
Test-AzStorageAccountADObjectPasswordIsKerbKey -ResourceGroupName "<your-resource-group-name>" -Name "<your-storage-account-name>" -Verbose