Förbereda Active Directory för Azure Local- version 23H2-distribution

Gäller för: Azure Local, version 23H2

Den här artikeln beskriver hur du förbereder din Active Directory-miljö innan du distribuerar Azure Local version 23H2.

Active Directory-krav för Azure Local omfattar:

• En dedikerad organisationsenhet (OU).
• Arv av grupprincip som blockeras för tillämpligt grupprincip objekt (GPO).
• Ett användarkonto som har alla rättigheter till organisationsenheten i Active Directory.
• Datorer får inte vara anslutna till Active Directory före distributionen.

Kommentar

• Du kan använda din befintliga process för att uppfylla ovanstående krav. Skriptet som används i den här artikeln är valfritt och tillhandahålls för att förenkla förberedelsen.
• När grupprinciparv blockeras på organisationsenhetsnivå blockeras inte framtvingade grupprincipobjekt. Se till att alla tillämpliga grupprincipobjekt, som tillämpas, också blockeras med hjälp av andra metoder, till exempel med hjälp av WMI-filter eller säkerhetsgrupper.

Om du vill tilldela nödvändiga behörigheter för Active Directory manuellt skapar du en organisationsenhet och blockerar GPO-arv i Anpassad Active Directory-konfiguration för din Azure Local version 23H2.

Förutsättningar

Kontrollera att du har gjort följande innan du börjar:

• Uppfylla kraven för nya distributioner av Azure Local.

• Ladda ned och installera modulen version 2402 från PowerShell-galleriet. Kör följande kommando från mappen där modulen finns:

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Kommentar

  Se till att avinstallera tidigare versioner av modulen innan du installerar den nya versionen.

• Du har fått behörighet att skapa en organisationsenhet. Kontakta Active Directory-administratören om du inte har behörigheter.

• Om du har en brandvägg mellan ditt lokala Azure-system och Active Directory kontrollerar du att rätt brandväggsregler har konfigurerats. Specifik vägledning finns i Brandväggskrav för Active Directory Web Services och Active Directory Gateway Management Service. Se även Så här konfigurerar du en brandvägg för Active Directory-domäner och -förtroenden.

Active Directory-förberedelsemodul

Cmdleten New-HciAdObjectsPreCreation för PowerShell-modulen AsHciADArtifactsPreCreationTool används för att förbereda Active Directory för lokala Azure-distributioner. Här är de obligatoriska parametrarna som är associerade med cmdleten:

Parameter	Description
-AzureStackLCMUserCredential	Ett nytt användarobjekt som skapas med rätt behörigheter för distribution. Det här kontot är samma som det användarkonto som används av Azure Local-distributionen. Kontrollera att endast användarnamnet har angetts. Namnet ska inte innehålla domännamnet, contoso\usernametill exempel . Lösenordet måste uppfylla kraven på längd och komplexitet. Använd ett lösenord som är minst 12 tecken långt. Lösenordet måste också innehålla tre av de fyra kraven: ett gemener, ett versalt tecken, ett tal och ett specialtecken. Mer information finns i krav på lösenordskomplexitet. Namnet kan använda administratören som användarnamn.
-AsHciOUName	En ny organisationsenhet (OU) som lagrar alla objekt för den lokala Azure-distributionen. Befintliga grupprinciper och arv blockeras i den här organisationsenheten för att säkerställa att det inte finns någon konflikt med inställningarna. Organisationsenheten måste anges som det unika namnet (DN). Mer information finns i formatet Distinguished Names (Unika namn).

Kommentar

• Sökvägen -AsHciOUName stöder inte följande specialtecken någonstans i sökvägen: &,",',<,>.
• Det går inte heller att flytta datorobjekten till en annan organisationsenhet när distributionen är klar.

Förbereda Active Directory

När du förbereder Active Directory skapar du en dedikerad organisationsenhet (OU) för att placera Azure Local-relaterade objekt, till exempel distributionsanvändare.

Följ dessa steg för att skapa en dedikerad organisationsenhet:

1. Logga in på en dator som är ansluten till din Active Directory-domän.

2. Kör PowerShell som administratör.

3. Kör följande kommando för att skapa den dedikerade organisationsenheten.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. När du uppmanas till det anger du användarnamnet och lösenordet för distributionen.

   1. Kontrollera att endast användarnamnet har angetts. Namnet ska inte innehålla domännamnet, contoso\usernametill exempel . Användarnamnet måste innehålla mellan 1 och 64 tecken och får endast innehålla bokstäver, siffror, bindestreck och understreck och får inte börja med ett bindestreck eller tal.
   2. Kontrollera att lösenordet uppfyller kraven på komplexitet och längd. Använd ett lösenord som är minst 12 tecken långt och innehåller: ett gemener, ett versalt tecken, ett tal och ett specialtecken.

   Här är ett exempel på utdata från ett lyckat slutförande av skriptet:

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Kontrollera att organisationsenheten har skapats. Om du använder en Windows Server-klient går du till Serverhanteraren > Verktyg > Active Directory - användare och datorer.

6. En organisationsenhet med det angivna namnet ska skapas och inom den organisationsenheten visas distributionsanvändaren.

   

Kommentar

Om du reparerar en enskild dator ska du inte ta bort den befintliga organisationsenheten. Om datorvolymerna är krypterade tar OU bort BitLocker-återställningsnycklarna.

Nästa steg

• Ladda ned Azure Stack HCI OS, version 23H2-programvara på varje dator i systemet.