为 Azure 本地版本 23H2 部署准备 Active Directory
适用于:Azure Local 2311.2 及更高版本
本文介绍如何在部署 Azure 本地版本 23H2 之前准备 Active Directory 环境。
Azure 本地的 Active Directory 要求包括:
- 专用组织单位(OU)。
- 为适用的组策略对象(GPO)阻止的组策略继承。
- 具有 Active Directory 中 OU 的所有权限的用户帐户。
- 部署之前,计算机不得加入 Active Directory。
注意
- 可以使用现有流程来满足上述要求。 本文中使用的脚本是可选的,用于简化准备。
- 当在 OU 级别阻止组策略继承时,不会阻止启用了强制选项的 GPO。 如果适用,请确保通过其他方法阻止这些 GPO,例如使用 Windows Management Instrumentation (WMI) 筛选器。 将 WMI 筛选器应用到任何强制实施的 GPO,以便在应用 GPO 时排除 Azure Local 实例的机器(计算机)帐户。 应用筛选器后,根据 WMI 筛选器中定义的逻辑,将不会应用强制实施的 GPO。
若要手动分配 Active Directory 所需的权限,请创建 OU 并阻止 GPO 继承,请参阅 Azure 本地版本 23H2 的自定义 Active Directory 配置。
先决条件
完成 Azure Local 新部署的先决任务。
安装 “AsHciADArtifactsPreCreationTool” 模块的版本 2402。 运行以下命令,从 PowerShell 库安装模块:
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force注意
在安装新版本之前,请确保卸载该模块的任何早期版本。
需要权限才能创建 OU。 如果没有权限,请联系 Active Directory 管理员。
如果 Azure 本地系统和 Active Directory 之间有防火墙,请确保配置了正确的防火墙规则。 有关特定指南,请参阅 Active Directory Web 服务和 Active Directory 网关管理服务的防火墙要求。 另 请参阅如何为 Active Directory 域和信任配置防火墙。
Active Directory 准备模块
New-HciAdObjectsPreCreation AsHciADArtifactsPreCreationTool PowerShell 模块的 cmdlet 用于为 Azure 本地部署准备 Active Directory。 下面是与 cmdlet 关联的必需参数:
| 参数 | 说明 |
|---|---|
-AzureStackLCMUserCredential |
使用适当的部署权限创建的新用户对象。 此帐户与 Azure 本地部署使用的用户帐户相同。 确保仅提供用户名。 该名称不应包含域名,例如, contoso\username。密码必须符合长度和复杂性要求。 使用长度至少为 12 个字符的密码。 密码还必须包含四个要求中的三个:小写字符、大写字符、数字和特殊字符。 有关详细信息,请参阅 密码复杂性要求。 该名称不能与本地管理员用户完全相同。 该名称可以使用 管理员 作为用户名。 |
-AsHciOUName |
用于存储 Azure 本地部署的所有对象的新组织单位(OU)。 此 OU 中阻止了现有的组策略和继承,以确保没有设置冲突。 必须将 OU 指定为可分辨名称(DN)。 有关详细信息,请参阅可分辨名称的格式。 |
注意
- 路径
-AsHciOUName不支持路径中的任何位置的以下特殊字符:&,",',<,> - 部署完成后,不支持将计算机对象移动到其他 OU。
准备 Active Directory
准备 Active Directory 时,请创建一个专用的组织单位(OU),以放置 Azure 本地相关对象,例如部署用户。
若要创建专用 OU,请执行以下步骤:
登录到已加入 Active Directory 域的计算机。
以管理员身份运行 PowerShell。
运行以下命令以创建专用 OU。
New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"出现提示时,请提供部署的用户名和密码。
- 确保仅提供用户名。 该名称不应包含域名,例如,
contoso\username。 用户名必须介于 1 到 64 个字符之间,并且仅包含字母、数字、连字符和下划线,不能以连字符或数字开头。 - 确保密码符合复杂性和长度要求。 使用长度至少为 12 个字符的密码,其中包含:小写字符、大写字符、数字和特殊字符。
下面是成功完成脚本的示例输出:
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force PS C:\work> $user = "ms309deployuser" PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password) PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com" PS C:\work>- 确保仅提供用户名。 该名称不应包含域名,例如,
验证是否已创建 OU。 如果使用 Windows Server 客户端,请转到服务器管理器>工具>Active Directory 用户和计算机。
创建具有指定名称的 OU。 此 OU 包含新的 LCM 部署用户帐户。
注意
如果要修复单个计算机,请不要删除现有 OU。 如果计算机卷已加密,则删除 OU 会删除 BitLocker 恢复密钥。
大规模部署的注意事项
生命周期管理器(LCM)用户帐户在使用 Active Directory(AD)的 Azure 本地实例部署期间,或者在现有实例的任何添加节点或修复操作中被使用。 LCM 用户帐户负责执行域加入操作,这需要 LCM 用户身份具有委托的权限,才能将计算机帐户添加到本地域中的目标组织单位 (OU)。 在部署 Azure 本地期间,LCM 用户帐户将添加到物理计算机的本地管理员组中。
为了降低泄露的 LCM 用户帐户凭据的风险,我们建议对于每个 Azure 本地实例,你有一个具有唯一密码的专用 LCM 用户帐户。
建议遵循以下创建 OU 的最佳做法:
- 对于每个 Azure 本地实例,请在 Active Directory 中创建单个 OU。 此方法有助于在每个实例的单个 OU 范围内管理计算机帐户、CNO、LCM 用户帐户和物理计算机帐户。
- 大规模部署多个实例时,可以更轻松地进行管理:
- 在单个父 OU 下为每个实例创建一个 OU。
- 在父 OU 级别禁用 GPO 继承。
使用 New-HciAdObjectsPreCreationcmdlet 准备 Active Directory 时,将自动执行上述建议。