使用管理员信任的证明授权 Hyper-V 主机

• 适用于:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

重要

从 Windows Server 2019 开始，管理员信任的证明（AD 模式）已弃用。 对于无法进行 TPM 证明的环境，请配置主机密钥证明。 主机密钥证明提供与 AD 模式类似的保证，并且更易于设置。

若要在 AD 模式下授权受保护的主机：

1. 在构造域中，将 Hyper-V 主机添加到安全组。
2. 在 HGS 域中，将安全组的 SID 注册到 HGS。

将 Hyper-V 主机添加到安全组并重新启动主机

1. 在构造域中创建全局安全组，并添加将运行受防护的 VM 的 Hyper-V 主机。 重启主机以更新其组成员身份。

2. 使用 Get-ADGroup 获取安全组的安全标识符 (SID)，并将其提供给 HGS 管理员。

   Get-ADGroup "Guarded Hosts"
   

   

将安全组的 SID 注册到 HGS

1. 从构造管理员获取受保护的主机的安全组 SID，并运行以下命令将安全组注册到 HGS。 如果需要，请对其他组重新运行命令。 为组提供一个易记名称。 该名称不需要与 Active Directory 安全组名称匹配。

   Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"
   

2. 若要验证是否已添加组，请运行 Get-HgsAttestationHostGroup。