準備 Active Directory 以進行 Azure 本機部署
適用於:Azure Local 2311.2 和更新版本
本文說明如何在部署 Azure 本機之前準備 Active Directory 環境。
Azure 本地的 Active Directory 需求如下:
- 專用組織單位(OU)。
- 適用的組策略物件的組策略繼承已被封鎖。
- 在 Active Directory 中具有 OU 所有權限的用戶帳戶。
- 部署之前,計算機不得加入Active Directory。
注意
- 您可以使用現有的程式來符合上述需求。 本文中使用的腳本是選擇性的,並提供 來簡化準備。
- 在 OU 層級封鎖組策略繼承時,不會封鎖已啟用強制選項的 GPO。 如果適用,請確保利用其他方法封鎖這些 GPO,例如使用 Windows Management Instrumentation(WMI)篩選器。 將 WMI 篩選器套用到所有已強制執行的 GPO,以排除 Azure 本機實例中的電腦帳戶,使其不受 GPO 的影響。 當篩選套用後,根據 WMI 篩選中定義的邏輯,強制 GPO 將不會被套用。
若要手動指派 Active Directory 的必要許可權、建立 OU 和封鎖 GPO 繼承,請參閱 azure 本機 的自定義 Active Directory 組態。
必要條件
完成新的 Azure Local 部署的前置條件。
安裝 'AsHciADArtifactsPreCreationTool' 模組的版本 2402。 執行下列命令以從 PowerShell 資源庫安裝模組:
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force注意
安裝新版本之前,請務必先卸載任何舊版的模組。
您需要權限才能建立 OU。 如果您沒有許可權,請連絡 Active Directory 系統管理員。
如果您的 Azure 本機系統與 Active Directory 之間有防火牆,請確定已設定適當的防火牆規則。 如需特定指引,請參閱 Active Directory Web 服務和 Active Directory 閘道管理服務的防火牆需求。 另請參閱如何為 Active Directory 網域和信任設定防火牆。
Active Directory 準備模組
New-HciAdObjectsPreCreation AsHciADArtifactsPreCreationTool PowerShell 模組的 Cmdlet 可用來準備 Active Directory 以進行 Azure 本機部署。 以下是與 Cmdlet 相關聯的必要參數:
| 參數 | 描述 |
|---|---|
-AzureStackLCMUserCredential |
使用適當的部署許可權所建立的新用戶物件。 此帳戶與 Azure 本機部署所使用的用戶帳戶相同。 請確定只提供用戶名稱。 名稱中不應包括網域名稱,例如, contoso\username。密碼必須符合長度和複雜度需求。 使用長度至少為12個字元的密碼。 密碼也必須包含四個需求中的三個:小寫字元、大寫字元、數位和特殊字元。 如需詳細資訊,請參閱 密碼複雜性需求。 名稱不能與本機系統管理員使用者完全相同。 此名稱可以使用 系統管理員 作為用戶名稱。 |
-AsHciOUName |
新的組織單位(OU),用來儲存 Azure 本機部署的所有物件。 此 OU 中會封鎖現有的組策略和繼承,以避免設定衝突。 OU 必須指定為辨別名稱 (DN)。 如需詳細資訊,請參閱辨別名稱的格式。 |
註解
- 路徑
-AsHciOUName不支援路徑內任何位置的下列特殊字元:&,",',<,>。 - 部署完成之後,不支援將計算機物件移至不同的 OU。
準備 Active Directory
當您準備 Active Directory 時,您會建立專用的組織單位(OU)來放置與 Azure 本機相關的物件,例如部署使用者。
若要建立專用 OU,請遵循下列步驟:
登入已加入 Active Directory 網域的電腦。
以系統管理員身分執行 PowerShell。
執行下列命令來建立專用 OU。
New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"出現提示時,請提供部署的使用者名稱和密碼。
- 請確定只提供用戶名稱。 名稱中不應包括網域名稱,例如,
contoso\username。 使用者名稱必須介於 1 到 64 個字元之間,且只包含字母、數位、連字元和底線,且不得以連字元或數位開頭。 - 請確定密碼符合複雜度和長度需求。 使用長度至少為12個字元且包含的密碼:小寫字元、大寫字元、數位和特殊字元。
以下是文稿成功完成的範例輸出:
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force PS C:\work> $user = "ms309deployuser" PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password) PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com" PS C:\work>- 請確定只提供用戶名稱。 名稱中不應包括網域名稱,例如,
請確認 OU 已建立。 如果使用 Windows Server 用戶端,請移至 伺服器管理員> 工具> Active Directory 使用者和電腦。
建立具有指定名稱的 OU。 此 OU 包含新的生命週期管理員 (LCM) 部署用戶帳戶。
![[Active Directory 計算機和使用者] 視窗的螢幕快照。](media/deployment-prep-active-directory/active-directory-11.png?view=azloc-24113)
![[Active Directory 計算機和使用者] 視窗的螢幕快照。](media/deployment-prep-active-directory/active-directory-11.png?view=azloc-24113#lightbox)
注意事項
如果您要修復單一計算機,請勿刪除現有的 OU。 如果機器磁碟區已加密,刪除 OU 會移除 BitLocker 修復密鑰。
大規模部署的考慮
LCM 使用者帳戶會在服務作業期間使用,例如透過PowerShell套用更新。 針對您的 AD 執行網域加入動作時,也會使用此帳戶,例如 修復節點 或 新增節點。 這需要 LCM 使用者身分識別具有委派許可權,才能將計算機帳戶新增至內部部署網域中的目標 OU。
在 Azure Local 的雲端部署期間,LCM 用戶帳戶會新增至實體節點的本機系統管理員群組。 若要降低遭入侵 LCM 使用者帳戶的風險,我們建議為每個 Azure 本機實例擁有具有唯一密碼的專用 LCM 用戶帳戶。 這項建議會將遭入侵 LCM 帳戶的範圍和影響限制為單一實例。
建議您遵循這些最佳做法來建立 OU。 當您使用 New-HciAdObjectsPreCreation Cmdlet 來 準備 Active Directory時,就會自動化這些建議。
- 針對每個 Azure 本機實例,在 Active Directory 內建立個別 OU。 此方法可協助管理每個實例之單一 OU 範圍內的 LCM 使用者帳戶、實體機器的電腦帳戶,以及叢集名稱物件 (CNO)。
- 當大規模部署多個實例時,為了更便於管理,
- 為每個實例在單一個父 OU 下建立 OU。
- 在父 OU 和子 OU 層級上啟用 封鎖繼承 選項。
- 若要將 GPO 套用至所有 Azure 本機執行個體,例如將網域群組加入到本機系統管理員群組中,請將 GPO 連結至父 OU 並啟用 [強制] 選項。 如此一來,您就會將設定套用至所有子 OU,即便啟用 封鎖繼承。
如果貴組織的流程和程序需要偏離這些建議,則允許這樣做。 不過,請務必考慮設計的安全性和管理性影響,並考慮這些因素。