为 Azure 本地版本 23H2 部署准备 Active Directory

适用于：Azure 本地版本 23H2

本文介绍如何在部署 Azure 本地版本 23H2 之前准备 Active Directory 环境。

Azure 本地的 Active Directory 要求包括：

• 专用组织单位（OU）。
• 为适用的组策略对象（GPO）阻止的组策略继承。
• 具有 Active Directory 中 OU 的所有权限的用户帐户。
• 部署之前，计算机不得加入 Active Directory。

注意

• 可以使用现有流程来满足上述要求。 本文中使用的脚本是可选的，用于简化准备。
• 当在 OU 级别阻止组策略继承时，不会阻止强制实施 GPO。 确保使用其他方法（例如，使用 WMI 筛选器 或 安全组）阻止任何适用的 GPO。

若要手动分配 Active Directory 所需的权限，请创建 OU 并阻止 GPO 继承，请参阅 Azure 本地版本 23H2 的自定义 Active Directory 配置。

先决条件

在开始之前，请确保已完成以下操作：

• 满足 Azure 本地新部署的先决条件。

• 从PowerShell 库下载并安装版本 2402 模块。 从模块所在的文件夹中运行以下命令：

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  注意

  在安装新版本之前，请确保卸载该模块的任何早期版本。

• 你已获得创建 OU 的权限。 如果没有权限，请联系 Active Directory 管理员。

• 如果 Azure 本地系统和 Active Directory 之间有防火墙，请确保配置了正确的防火墙规则。 有关特定指南，请参阅 Active Directory Web 服务和 Active Directory 网关管理服务的防火墙要求。 另 请参阅如何为 Active Directory 域和信任配置防火墙。

Active Directory 准备模块

New-HciAdObjectsPreCreation AsHciADArtifactsPreCreationTool PowerShell 模块的 cmdlet 用于为 Azure 本地部署准备 Active Directory。 下面是与 cmdlet 关联的必需参数：

参数	说明
-AzureStackLCMUserCredential	使用适当的部署权限创建的新用户对象。 此帐户与 Azure 本地部署使用的用户帐户相同。 确保仅提供用户名。 该名称不应包括域名，例如 contoso\username。 密码必须符合长度和复杂性要求。 使用长度至少为 12 个字符的密码。 密码还必须包含四个要求中的三个：小写字符、大写字符、数字和特殊字符。 有关详细信息，请参阅 密码复杂性要求。 该名称可以使用 管理员 作为用户名。
-AsHciOUName	用于存储 Azure 本地部署的所有对象的新组织单位（OU）。 此 OU 中阻止了现有的组策略和继承，以确保没有设置冲突。 必须将 OU 指定为可分辨名称（DN）。 有关详细信息，请参阅可分辨名称的格式。

注意

• 路径-AsHciOUName不支持路径中的任何位置的以下特殊字符： &,",',<,>
• 也不支持在部署完成后将计算机对象移动到其他 OU。

准备 Active Directory

准备 Active Directory 时，请创建一个专用的组织单位（OU），以放置 Azure 本地相关对象，例如部署用户。

若要创建专用 OU，请执行以下步骤：

1. 登录到已加入 Active Directory 域的计算机。

2. 以管理员身份运行 PowerShell。

3. 运行以下命令以创建专用 OU。

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. 出现提示时，请提供部署的用户名和密码。

   1. 确保仅提供用户名。 该名称不应包括域名，例如 contoso\username。 用户名必须介于 1 到 64 个字符之间，并且仅包含字母、数字、连字符和下划线，不能以连字符或数字开头。
   2. 确保密码符合复杂性和长度要求。 使用长度至少为 12 个字符的密码，其中包含：小写字符、大写字符、数字和特殊字符。

   下面是成功完成脚本的示例输出：

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. 验证是否已创建 OU。 如果使用 Windows Server 客户端，请转到服务器管理器>工具>Active Directory 用户和计算机。

6. 应创建具有指定名称的 OU，并在该 OU 中看到部署用户。

   

注意

如果要修复单个计算机，请不要删除现有 OU。 如果计算机卷已加密，则删除 OU 会删除 BitLocker 恢复密钥。

后续步骤

• 在系统中的每台计算机上下载 Azure Stack HCI OS 版本 23H2 软件 。