Поделиться через


Обновление пароля для идентификации вашей учетной записи хранения в AD DS

Если вы зарегистрировали удостоверение или учетную запись доменных служб Active Directory Domain Services (AD DS), представляющую вашу учетную запись хранения в подразделении организации или в домене, в которой действует время истечения срока действия пароля, пароль необходимо изменить до наступления максимального срока. В организации могут выполняться автоматизированные сценарии очистки, которые удаляют учетные записи по истечении их срока действия. Поэтому, если вы не измените пароль до завершения периода его пригодности, ваша учетная запись может быть удалена, что приведет к потере доступа к общим папкам Azure.

Чтобы предотвратить непреднамеренное смену паролей во время подключения учетной записи хранения Azure в домене, обязательно поместите учетную запись хранения Azure в отдельную организационную единицу в AD DS. Отключите наследование групповой политики в этом подразделении, чтобы предотвратить применение политик домена по умолчанию или определенных политик паролей.

Примечание.

Удостоверение учетной записи хранения в AD DS может быть учетной записью службы или учетной записью компьютера. Срок действия паролей учетной записи службы может истек в Active Directory (AD); Однако, поскольку изменения пароля учетной записи компьютера управляются клиентским компьютером, а не AD, они не истекают в AD.

Активировать смену паролей можно одним из двух способов. Модуль или PowerShell Active Directory можно использовать AzFilesHybrid . Используйте один метод, а не оба.

Применяется к

Тип общей папки SMB NFS
Стандартные общие папки (GPv2), LRS/ZRS Да Нет
Стандартные общие папки (GPv2), GRS/GZRS Да Нет
Общие папки уровня "Премиум" (FileStorage), LRS/ZRS Да Нет

Вариант 1. Использование модуля AzFilesHybrid

Командлет можно запустить Update-AzStorageAccountADObjectPassword из модуля AzFilesHybrid. Эту команду необходимо выполнить в локальной среде , присоединенной к AD DS, с помощью гибридного удостоверения с разрешением владельца для учетной записи хранения и разрешений AD DS, чтобы изменить пароль удостоверения, представляющего учетную запись хранения. Команда производит действия, аналогичные смене ключа учетной записи хранения. А именно, удостоверение получает второй ключ Kerberos учетной записи хранения и использует его для изменения пароля зарегистрированной учетной записи в AD DS. Затем оно повторно создает целевой ключ Kerberos учетной записи хранения и изменяет пароль зарегистрированной учетной записи в AD DS.

# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
        -RotateToKerbKey kerb2 `
        -ResourceGroupName "<your-resource-group-name-here>" `
        -StorageAccountName "<your-storage-account-name-here>"

Это действие изменит пароль объекта AD с kerb1 на kerb2. Это двухэтапный процесс: инициируйте смену пароля с kerb1 на kerb2 (kerb2 будет повторно создан в учетной записи хранения), подождите несколько часов, а затем снова смените пароль на kerb1 (этот командлет аналогичным образом повторно создаст kerb1).

Вариант 2. Использование PowerShell Active Directory

Если вы не хотите скачать AzFilesHybrid модуль, можно использовать PowerShell Active Directory.

Внимание

Командлеты Windows Server Active Directory PowerShell в этом разделе должны выполняться в Windows PowerShell 5.1 с повышенными привилегиями. PowerShell 7.x и Azure Cloud Shell не подходят для этого сценария.

Замените <domain-object-identity> в следующем скрипте значением, а затем запустите скрипт, чтобы обновить пароль объекта домена:

$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force

Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword

Проверка того, что пароль учетной записи AD DS соответствует ключу Kerberos

Теперь, когда вы обновили пароль учетной записи AD DS, его можно протестировать с помощью следующей команды PowerShell.

 Test-AzStorageAccountADObjectPasswordIsKerbKey -ResourceGroupName "<your-resource-group-name>" -Name "<your-storage-account-name>" -Verbose