Förbereda Active Directory för Azure Local- version 23H2-distribution

Gäller för: Azure Local 2311.2 och senare

Den här artikeln beskriver hur du förbereder din Active Directory-miljö innan du distribuerar Azure Local version 23H2.

Active Directory-krav för Azure Local omfattar:

• En dedikerad organisationsenhet (OU).
• Arv av grupprincip som blockeras för tillämpligt grupprincip objekt (GPO).
• Ett användarkonto som har alla rättigheter till organisationsenheten i Active Directory.
• Datorer får inte vara anslutna till Active Directory före distributionen.

Kommentar

• Du kan använda din befintliga process för att uppfylla ovanstående krav. Skriptet som används i den här artikeln är valfritt och tillhandahålls för att förenkla förberedelsen.
• När arv av grupprincip blockeras på organisationsenhetsnivå blockeras inte grupprincipobjekt med aktiverat alternativ. Om tillämpligt kontrollerar du att dessa grupprincipobjekt blockeras med andra metoder, till exempel med hjälp av ett WMI-filter (Windows Management Instrumentation). Använd WMI-filtret på eventuella framtvingade grupprincipobjekt för att exkludera datorkonton för dina lokala Azure-instanser från att tillämpa grupprincipobjekten. När filtret har tillämpats tillämpas inte tvingande grupprinciper baserat på den logik som definierats i WMI-filtret.

Om du vill tilldela nödvändiga behörigheter för Active Directory manuellt skapar du en organisationsenhet och blockerar GPO-arv i Anpassad Active Directory-konfiguration för din Azure Local version 23H2.

Förutsättningar

• Slutför krav för nya distributioner av Azure Local.

• Installera version 2402 av modulen "AsHciADArtifactsPreCreationTool". Kör följande kommando för att installera modulen från PowerShell-galleriet:

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Kommentar

  Se till att avinstallera tidigare versioner av modulen innan du installerar den nya versionen.

• Du behöver behörighet för att skapa en organisationsenhet. Kontakta Active Directory-administratören om du inte har behörigheter.

• Om du har en brandvägg mellan ditt lokala Azure-system och Active Directory kontrollerar du att rätt brandväggsregler har konfigurerats. Specifik vägledning finns i Brandväggskrav för Active Directory Web Services och Active Directory Gateway Management Service. Se även Så här konfigurerar du en brandvägg för Active Directory-domäner och -förtroenden.

Active Directory-förberedelsemodul

Cmdleten New-HciAdObjectsPreCreation för PowerShell-modulen AsHciADArtifactsPreCreationTool används för att förbereda Active Directory för lokala Azure-distributioner. Här är de obligatoriska parametrarna som är associerade med cmdleten:

Parameter	Description
-AzureStackLCMUserCredential	Ett nytt användarobjekt som skapas med rätt behörigheter för distribution. Det här kontot är samma som det användarkonto som används av Azure Local-distributionen. Kontrollera att endast användarnamnet har angetts. Namnet får inte innehålla domännamnet, till exempel contoso\username. Lösenordet måste uppfylla kraven på längd och komplexitet. Använd ett lösenord som är minst 12 tecken långt. Lösenordet måste också innehålla tre av de fyra kraven: ett gemener, ett versalt tecken, ett tal och ett specialtecken. Mer information finns i krav på lösenordskomplexitet. Namnet får inte vara exakt samma som den lokala administratörsanvändaren. Namnet kan använda administratören som användarnamn.
-AsHciOUName	En ny organisationsenhet (OU) som lagrar alla objekt för den lokala Azure-distributionen. Befintliga grupprinciper och arv blockeras i den här organisationsenheten för att säkerställa att det inte finns någon konflikt med inställningarna. Organisationsenheten måste anges som det unika namnet (DN). Mer information finns i formatet Distinguished Names (Unika namn).

Kommentar

• Sökvägen -AsHciOUName stöder inte följande specialtecken någonstans i sökvägen: &,",',<,>.
• När distributionen är klar stöds inte att flytta datorobjekten till en annan organisationsenhet.

Förbereda Active Directory

När du förbereder Active Directory skapar du en dedikerad organisationsenhet (OU) för att placera Azure Local-relaterade objekt, till exempel distributionsanvändare.

Följ dessa steg för att skapa en dedikerad organisationsenhet:

1. Logga in på en dator som är ansluten till din Active Directory-domän.

2. Kör PowerShell som administratör.

3. Kör följande kommando för att skapa den dedikerade organisationsenheten.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. När du uppmanas till det anger du användarnamnet och lösenordet för distributionen.

   1. Kontrollera att endast användarnamnet har angetts. Namnet får inte innehålla domännamnet, till exempel contoso\username. Användarnamnet måste innehålla mellan 1 och 64 tecken och får endast innehålla bokstäver, siffror, bindestreck och understreck och får inte börja med ett bindestreck eller tal.
   2. Kontrollera att lösenordet uppfyller kraven på komplexitet och längd. Använd ett lösenord som är minst 12 tecken långt och innehåller: ett gemener, ett versalt tecken, ett tal och ett specialtecken.

   Här är ett exempel på utdata från ett lyckat slutförande av skriptet:

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Kontrollera att organisationsenheten har skapats. Om du använder en Windows Server-klient går du till Serverhanteraren > Verktyg > Active Directory - användare och datorer.

6. En organisationsenhet med det angivna namnet skapas. Den här organisationsenheten innehåller det nya LCM-distributionsanvändarkontot.

   

Kommentar

Om du reparerar en enda dator ska du inte ta bort den befintliga organisationsenheten. Om datorvolymerna är krypterade tar OU bort BitLocker-återställningsnycklarna.

Överväganden för storskaliga distributioner

Användarkontot Lifecycle Manager (LCM) används under distributioner av lokala Azure-instanser som använder Active Directory (AD) eller för tilläggsnod-/reparationsåtgärder för befintliga instanser. LCM-användarkontot ansvarar för att utföra domänanslutningsåtgärder, vilket kräver att LCM-användaridentiteten har delegerade behörigheter för att lägga till datorkonton i målorganisationsenheten (OU) i den lokala domänen. Under distributionen av Azure Local läggs LCM-användarkontot till i den lokala administratörsgruppen för de fysiska datorerna.

För att minska risken för en komprometterad LCM-användarkontoautentisering rekommenderar vi att du för varje lokal Azure-instans har ett dedikerat LCM-användarkonto med ett unikt lösenord.

Vi rekommenderar att du följer dessa bästa praxis för att skapa organisationsenheter.

• För varje Lokal Azure-instans skapar du en enskild organisationsenhet i Active Directory. Den här metoden hjälper dig att hantera datorkonton, CNO-, LCM-användarkonton och fysiska datorkonton inom omfånget för en enskild organisationsenhet för varje instans.
• När du distribuerar flera instanser i stor skala, för enklare hantering:
  • Skapa en organisationsenhet under en enda överordnad organisationsenhet för varje instans.
  • Inaktivera GPO-arv på överordnad organisationsenhetsnivå.

Föregående rekommendationer är automatiserade när du använder cmdleten New-HciAdObjectsPreCreation för att förbereda Active Directory.

Nästa steg

• Ladda ned Azure Stack HCI OS, version 23H2-programvara på varje dator i systemet.