針對 Azure 本機版本 23H2 部署準備 Active Directory
適用於:Azure Local 2311.2 和更新版本
本文說明如何在部署 Azure 本機版本 23H2 之前準備 Active Directory 環境。
Azure 本機的 Active Directory 需求包括:
- 專用組織單位(OU)。
- 針對適用的組策略物件 (GPO) 封鎖的組策略繼承。
- 用戶帳戶,具有 Active Directory 中 OU 的所有許可權。
- 部署之前,計算機不得加入Active Directory。
注意
- 您可以使用現有的程式來符合上述需求。 本文中使用的腳本是選擇性的,並提供 來簡化準備。
- 在 OU 層級封鎖組策略繼承時,不會封鎖已啟用強制選項的 GPO。 如果適用,請確定這些 GPO 使用其他方法遭到封鎖,例如使用 Windows Management Instrumentation (WMI) 篩選。 將 WMI 篩選器套用到所有已強制執行的 GPO,以排除 Azure 本機實例中的電腦帳戶,使其不受 GPO 的影響。 當篩選套用後,根據 WMI 篩選中定義的邏輯,強制 GPO 將不會被套用。
若要手動指派 Active Directory 的必要許可權、建立 OU 和封鎖 GPO 繼承,請參閱 Azure 本機版本 23H2 的自定義 Active Directory 組態。
必要條件
完成 Azure 本機新部署 的必要條件。
安裝 'AsHciADArtifactsPreCreationTool' 模組的版本 2402。 執行下列命令以從 PowerShell 資源庫安裝模組:
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force注意
安裝新版本之前,請務必先卸載任何舊版的模組。
您需要權限才能建立 OU。 如果您沒有許可權,請連絡 Active Directory 系統管理員。
如果您的 Azure 本機系統與 Active Directory 之間有防火牆,請確定已設定適當的防火牆規則。 如需特定指引,請參閱 Active Directory Web 服務和 Active Directory 閘道管理服務的防火牆需求。 另 請參閱如何設定 Active Directory 網域和信任的防火牆。
Active Directory 準備模組
New-HciAdObjectsPreCreation AsHciADArtifactsPreCreationTool PowerShell 模組的 Cmdlet 可用來準備 Active Directory 以進行 Azure 本機部署。 以下是與 Cmdlet 相關聯的必要參數:
| 參數 | 描述 |
|---|---|
-AzureStackLCMUserCredential |
使用適當的部署許可權所建立的新用戶物件。 此帳戶與 Azure 本機部署所使用的用戶帳戶相同。 請確定只提供用戶名稱。 名稱中不應包括網域名稱,例如, contoso\username。密碼必須符合長度和複雜度需求。 使用長度至少為12個字元的密碼。 密碼也必須包含四個需求中的三個:小寫字元、大寫字元、數位和特殊字元。 如需詳細資訊,請參閱 密碼複雜性需求。 名稱不能與本機系統管理員使用者完全相同。 此名稱可以使用 系統管理員 作為用戶名稱。 |
-AsHciOUName |
新的組織單位(OU),用來儲存 Azure 本機部署的所有物件。 此 OU 中會封鎖現有的組策略和繼承,以確保沒有設定的衝突。 OU 必須指定為辨別名稱 (DN)。 如需詳細資訊,請參閱辨別名稱的格式。 |
注意
- 路徑
-AsHciOUName不支援路徑內任何位置的下列特殊字元:&,",',<,>。 - 部署完成之後,不支援將計算機物件移至不同的 OU。
準備 Active Directory
當您準備 Active Directory 時,您會建立專用的組織單位(OU)來放置 Azure 本機相關物件,例如部署使用者。
若要建立專用 OU,請遵循下列步驟:
登入已加入 Active Directory 網域的電腦。
以系統管理員身分執行 PowerShell。
執行下列命令來建立專用 OU。
New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"出現提示時,請提供部署的使用者名稱和密碼。
- 請確定只提供用戶名稱。 名稱不應該包含網域名稱,例如,
contoso\username。 使用者名稱必須介於 1 到 64 個字元之間,且只包含字母、數位、連字元和底線,且不得以連字元或數位開頭。 - 請確定密碼符合複雜度和長度需求。 使用長度至少為12個字元且包含的密碼:小寫字元、大寫字元、數位和特殊字元。
以下是文稿成功完成的範例輸出:
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force PS C:\work> $user = "ms309deployuser" PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password) PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com" PS C:\work>- 請確定只提供用戶名稱。 名稱不應該包含網域名稱,例如,
確認已建立 OU。 如果使用 Windows Server 用戶端,請移至 伺服器管理員 > Tools > Active Directory 使用者和電腦。
建立具有指定名稱的 OU。 此 OU 包含新的 LCM 部署用戶帳戶。
![[Active Directory 計算機和使用者] 視窗的螢幕快照。](media/deployment-prep-active-directory/active-directory-11.png)
![[Active Directory 計算機和使用者] 視窗的螢幕快照。](media/deployment-prep-active-directory/active-directory-11.png#lightbox)
注意
如果您要修復單一計算機,請勿刪除現有的 OU。 如果機器磁碟區已加密,刪除 OU 會移除 BitLocker 修復密鑰。
大規模部署的考慮
生命週期管理員 (LCM) 用戶帳戶會在使用 Active Directory (AD) 的 Azure 本機實例部署期間使用,或用於現有實例的任何新增節點/修復作業。 LCM 用戶帳戶負責執行網域加入動作,這需要 LCM 用戶有委派的許可權,以便將計算機帳戶新增至內部部署網域中目標組織單位(OU)。 在 Azure Local 部署期間,LCM 用戶帳戶會新增至實體機器的本機系統管理員群組。
若要降低遭入侵 LCM 使用者帳戶認證的風險,我們建議針對每個 Azure 本機實例,您都有具有唯一密碼的專用 LCM 用戶帳戶。
建議您遵循下列最佳做法來建立 OU:
- 針對每個 Azure 本機實例,在 Active Directory 內建立個別 OU。 此方法可協助管理每個實例之單一 OU 範圍內的電腦帳戶、CNO、LCM 使用者帳戶和實體電腦帳戶。
- 大規模部署多個實例時,以便更容易管理:
- 為每個實例在其各自的單一父 OU 下建立 OU。
- 停用父 OU 層級的 GPO 繼承。
當您使用 New-HciAdObjectsPreCreation Cmdlet 來 準備 Active Directory時,會自動化上述建議。