Dela via

Förbereda Active Directory för lokal Azure-distribution

  • Artikel

Gäller för: Azure Local 2311.2 och senare

Den här artikeln beskriver hur du förbereder din Active Directory-miljö innan du distribuerar Azure Local.

Active Directory-krav för Azure Local omfattar:

  • En dedikerad organisationsenhet (OU).
  • Blockerat arv för tillämpligt gruppolicyobjekt (GPO).
  • Ett användarkonto som har alla rättigheter till organisationsenheten i Active Directory.
  • Datorer får inte vara anslutna till Active Directory före distributionen.

Kommentar

  • Du kan använda din befintliga process för att uppfylla ovanstående krav. Skriptet som används i den här artikeln är valfritt och tillhandahålls för att förenkla förberedelsen.
  • När arv av gruppolicy blockeras på nivån för organisationsenheten blockeras inte gruppolicyobjekt (GPOs) med aktiverad gällande inställning. Om tillämpligt, se till att dessa GPO:er blockeras med andra metoder, till exempel genom att använda ett Windows Management Instrumentation (WMI)-filter. Använd WMI-filtret på eventuella framtvingade grupprincipobjekt för att exkludera datorkonton för dina lokala Azure-instanser från att tillämpa grupprincipobjekten. När filtret har tillämpats kommer tvingande GPO:er inte att tillämpas, baserat på den logik som definierats i WMI-filtret.

Om du manuellt vill tilldela de nödvändiga behörigheterna för Active Directory, skapa en OU och blockera GPO-arv, se Anpassad Active Directory-konfiguration för din lokala Azure-.

Förutsättningar

Active Directory-förberedelsemodul

Cmdleten New-HciAdObjectsPreCreation för PowerShell-modulen AsHciADArtifactsPreCreationTool används för att förbereda Active Directory för lokala Azure-distributioner. Här är de obligatoriska parametrarna som är associerade med cmdleten:

Parameter Beskrivning
-AzureStackLCMUserCredential Ett nytt användarobjekt som skapas med rätt behörigheter för distribution. Det här kontot är samma som det användarkonto som används av Azure Local-distributionen.
Kontrollera att endast användarnamnet har angetts. Namnet får inte innehålla domännamnet, till exempel contoso\username.
Lösenordet måste uppfylla kraven på längd och komplexitet. Använd ett lösenord som är minst 12 tecken långt. Lösenordet måste också innehålla tre av de fyra kraven: en gemen bokstav, en versal bokstav, en siffra och ett specialtecken.
Mer information finns i krav på lösenordskomplexitet.
Namnet får inte vara exakt samma som den lokala administratörsanvändaren.
Namnet kan använda administratören som användarnamn.
-AsHciOUName En ny organisationsenhet (OU) som lagrar alla objekt för den lokala Azure-distributionen. Befintliga grupprinciper och arv blockeras i den här organisationsenheten för att säkerställa att det inte finns någon konflikt med inställningarna. Organisationsenheten måste anges som det särskilda namnet (DN). Mer information finns i formatet Distinguished Names (Unika namn).

Kommentar

  • Sökvägen -AsHciOUName stöder inte följande specialtecken någonstans i sökvägen: &,",',<,>.
  • När distributionen är klar stöds inte att flytta datorobjekten till en annan organisationsenhet.

Förbereda Active Directory

När du förbereder Active Directory skapar du en dedikerad organisationsenhet (OU) för att placera Azure Local-relaterade objekt, till exempel distributionsanvändare.

Följ dessa steg för att skapa en dedikerad organisationsenhet:

  1. Logga in på en dator som är ansluten till din Active Directory-domän.

  2. Kör PowerShell som administratör.

  3. Kör följande kommando för att skapa den dedikerade organisationsenheten.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. När du uppmanas till det anger du användarnamnet och lösenordet för distributionen.

    1. Kontrollera att endast användarnamnet har angetts. Namnet får inte innehålla domännamnet, till exempel contoso\username. Användarnamnet måste innehålla mellan 1 och 64 tecken och får endast innehålla bokstäver, siffror, bindestreck och understreck och får inte börja med ett bindestreck eller tal.
    2. Kontrollera att lösenordet uppfyller kraven på komplexitet och längd. Använd ett lösenord som är minst 12 tecken långt och innehåller: ett gemener, ett versalt tecken, ett tal och ett specialtecken.

    Här är ett exempel på utdata från ett lyckat slutförande av skriptet:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Kontrollera att organisationsenheten har skapats. Om du använder en Windows Server-klient går du till Serverhanteraren > Verktyg > Active Directory - användare och datorer.

  6. En organisationsenhet med det angivna namnet skapas. Den här organisationsenheten innehåller det nya Lifecycle Manager (LCM)-distributionsanvändarkontot.

    Skärmbild av fönstret Active Directory-datorer och -användare.

Anteckning

Om du reparerar en enda dator ska du inte ta bort den befintliga organisationsenheten. Om datorvolymerna är krypterade, leder borttagningen av OU till att BitLocker-återställningsnycklarna tas bort.

Överväganden för storskaliga distributioner

LCM-användarkontot används under serviceåtgärder, till exempel att tillämpa uppdateringar via PowerShell. Det här kontot används också när du utför domänanslutningsåtgärder mot din AD, till exempel reparera en nod eller lägga till en nod. Detta kräver att LCM-användaridentiteten har delegerade behörigheter för att lägga till datorkonton till mål-OU i den lokala domänen.

Under molndistributionen av Azure Local läggs LCM-användarkontot till i den lokala administratörsgruppen för de fysiska noderna. För att minska risken för ett komprometterat LCM-användarkonto vi rekommenderar att du har ett dedikerat LCM-användarkonto med ett unikt lösenord för varje lokal Azure-instans. Den här rekommendationen begränsar omfattningen och effekten av ett komprometterat LCM-konto till en enda instans.

Vi rekommenderar att du följer dessa bästa metoder för skapande av organisationsenheter. De här rekommendationerna automatiseras när du använder cmdleten New-HciAdObjectsPreCreation för att Förbered Active Directory-.

  • För varje Lokal Azure-instans skapar du en enskild organisationsenhet i Active Directory. Den här metoden hjälper dig att hantera LCM-användarkontot, datorkontona för de fysiska datorerna och klusternamnsobjektet (CNO) inom omfånget för en enskild organisationsenhet för varje instans.
  • När du distribuerar flera instanser i stor skala, för enklare hantering:
    • Skapa en organisationsenhet under en enda överordnad organisationsenhet för varje instans.
    • Aktivera alternativet Blockera arv på både den överordnade organisationsenheten och underenhetsnivåerna.
    • Om du vill tillämpa ett GPO på alla Azure Local-instanser, till exempel för att kapsla in en domängrupp i den lokala administratörsgruppen, länkar du GPO:t till den överordnade OU:n och aktiverar alternativet Tvingad. Genom att göra detta tillämpar du konfigurationen på alla underordnade organisatoriska enheter, även med Blockera arv aktiverat.

Om organisationens processer och procedurer kräver avvikelser från dessa rekommendationer tillåts de. Det är dock viktigt att tänka på säkerhets- och hanterbarhetskonsekvenserna av din design med hänsyn till dessa faktorer.

Nästa steg