共用方式為


針對 Azure 本機版本 23H2 部署準備 Active Directory

適用於:Azure 本機版本 23H2

本文說明如何在部署 Azure 本機版本 23H2 之前準備 Active Directory 環境。

Azure 本機的 Active Directory 需求包括:

  • 專用組織單位(OU)。
  • 針對適用的組策略物件 (GPO) 封鎖的組策略繼承。
  • 用戶帳戶,具有 Active Directory 中 OU 的所有許可權。
  • 部署之前,計算機不得加入Active Directory。

注意

  • 您可以使用現有的程式來符合上述需求。 本文中使用的腳本是選擇性的,並提供 來簡化準備。
  • 在 OU 層級封鎖組策略繼承時,不會封鎖強制執行的 GPO。 請確定任何強制執行的適用 GPO 也會使用其他方法封鎖,例如使用 WMI 篩選器安全組

若要手動指派 Active Directory 的必要許可權、建立 OU 和封鎖 GPO 繼承,請參閱 Azure 本機版本 23H2 的自定義 Active Directory 組態。

必要條件

開始之前,請確定您已完成下列動作:

Active Directory 準備模組

New-HciAdObjectsPreCreation AsHciADArtifactsPreCreationTool PowerShell 模組的 Cmdlet 可用來準備 Active Directory 以進行 Azure 本機部署。 以下是與 Cmdlet 相關聯的必要參數:

參數 描述
-AzureStackLCMUserCredential 使用適當的部署許可權所建立的新用戶物件。 此帳戶與 Azure 本機部署所使用的用戶帳戶相同。
請確定只提供用戶名稱。 名稱不應包含功能變數名稱,例如 contoso\username
密碼必須符合長度和複雜度需求。 使用長度至少為12個字元的密碼。 密碼也必須包含四個需求中的三個:小寫字元、大寫字元、數位和特殊字元。
如需詳細資訊,請參閱 密碼複雜性需求
此名稱可以使用 系統管理員 作為用戶名稱。
-AsHciOUName 新的組織單位(OU),用來儲存 Azure 本機部署的所有物件。 此 OU 中會封鎖現有的組策略和繼承,以確保沒有設定的衝突。 OU 必須指定為辨別名稱 (DN)。 如需詳細資訊,請參閱辨別名稱的格式

注意

  • 路徑 -AsHciOUName 不支援路徑內任何位置的下列特殊字元: &,",',<,>
  • 也不支援在部署完成之後,將計算機物件移至不同的 OU。

準備 Active Directory

當您準備 Active Directory 時,您會建立專用的組織單位(OU)來放置 Azure 本機相關物件,例如部署使用者。

若要建立專用 OU,請遵循下列步驟:

  1. 登入已加入 Active Directory 網域的電腦。

  2. 以系統管理員身分執行 PowerShell。

  3. 執行下列命令來建立專用 OU。

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
    
    
  4. 出現提示時,請提供部署的使用者名稱和密碼。

    1. 請確定只提供用戶名稱。 名稱不應包含功能變數名稱,例如 contoso\username使用者名稱必須介於 1 到 64 個字元之間,且只包含字母、數位、連字元和底線,且不得以連字元或數位開頭。
    2. 請確定密碼符合複雜度和長度需求。 使用長度至少為12個字元且包含的密碼:小寫字元、大寫字元、數位和特殊字元。

    以下是文稿成功完成的範例輸出:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
    PS C:\work> $user = "ms309deployuser"
    PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
    PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
    PS C:\work>
    
  5. 確認已建立 OU。 如果使用 Windows Server 用戶端,請移至 伺服器管理員 > Tools > Active Directory 使用者和電腦

  6. 您應該建立具有指定名稱的 OU,並在該 OU 內看到部署使用者。

    [Active Directory 計算機和使用者] 視窗的螢幕快照。

注意

如果您要修復單一計算機,請勿刪除現有的 OU。 如果機器磁碟區已加密,刪除 OU 會移除 BitLocker 修復密鑰。

下一步