Авторизация узлов Hyper-V с помощью аттестации, доверенной администратором

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Внимание

Аттестация с доверенным администратором (режим AD) устарела, начиная с Windows Server 2019. В средах, где аттестация TPM невозможна, настройте аттестацию ключа узла. Аттестация ключей узла обеспечивает аналогичную гарантию режима AD и упрощает настройку.

Чтобы авторизовать защищенный узел в режиме AD:

1. В домене структуры добавьте узлы Hyper-V в группу безопасности.
2. В домене HGS зарегистрируйте идентификатор безопасности группы безопасности в HGS.

Добавьте узел Hyper-V в группу безопасности и перезагрузите узел

1. Создайте глобальную группу безопасности в домене структуры и добавьте узлы Hyper-V, которые будут запускать экранированные виртуальные машины. Перезапустите узлы, чтобы обновить членство в группе.

2. Используйте Get-ADGroup, чтобы получить идентификатор безопасности группы безопасности и предоставить его администратору HGS.

   Get-ADGroup "Guarded Hosts"
   

   

Регистрация безопасности группы безопасности в HGS

1. Получите идентификатор безопасности группы безопасности для защищенных узлов от администратора структуры и выполните следующую команду, чтобы зарегистрировать группу безопасности в HGS. При необходимости повторно выполните команду для дополнительных групп. Укажите понятное имя для группы. Не нужно соответствовать имени группы безопасности Active Directory.

   Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"
   

2. Чтобы убедиться, что группа была добавлена, выполните команду Get-HgsAttestationHostGroup.