針對 Azure 本機版本 23H2 部署準備 Active Directory
適用於:Azure 本機版本 23H2
本文說明如何在部署 Azure 本機版本 23H2 之前準備 Active Directory 環境。
Azure 本機的 Active Directory 需求包括:
- 專用組織單位(OU)。
- 針對適用的組策略物件 (GPO) 封鎖的組策略繼承。
- 用戶帳戶,具有 Active Directory 中 OU 的所有許可權。
- 部署之前,計算機不得加入Active Directory。
注意
若要手動指派 Active Directory 的必要許可權、建立 OU 和封鎖 GPO 繼承,請參閱 Azure 本機版本 23H2 的自定義 Active Directory 組態。
必要條件
開始之前,請確定您已完成下列動作:
從 PowerShell 資源庫 下載並安裝 2402 版模組。 從模組所在的資料夾執行下列命令:
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
注意
安裝新版本之前,請務必先卸載任何舊版的模組。
您已取得建立 OU 的許可權。 如果您沒有許可權,請連絡 Active Directory 系統管理員。
如果您的 Azure 本機系統與 Active Directory 之間有防火牆,請確定已設定適當的防火牆規則。 如需特定指引,請參閱 Active Directory Web 服務和 Active Directory 閘道管理服務的防火牆需求。 另 請參閱如何設定 Active Directory 網域和信任的防火牆。
Active Directory 準備模組
New-HciAdObjectsPreCreation
AsHciADArtifactsPreCreationTool PowerShell 模組的 Cmdlet 可用來準備 Active Directory 以進行 Azure 本機部署。 以下是與 Cmdlet 相關聯的必要參數:
參數 | 描述 |
---|---|
-AzureStackLCMUserCredential |
使用適當的部署許可權所建立的新用戶物件。 此帳戶與 Azure 本機部署所使用的用戶帳戶相同。 請確定只提供用戶名稱。 名稱不應包含功能變數名稱,例如 contoso\username 。密碼必須符合長度和複雜度需求。 使用長度至少為12個字元的密碼。 密碼也必須包含四個需求中的三個:小寫字元、大寫字元、數位和特殊字元。 如需詳細資訊,請參閱 密碼複雜性需求。 此名稱可以使用 系統管理員 作為用戶名稱。 |
-AsHciOUName |
新的組織單位(OU),用來儲存 Azure 本機部署的所有物件。 此 OU 中會封鎖現有的組策略和繼承,以確保沒有設定的衝突。 OU 必須指定為辨別名稱 (DN)。 如需詳細資訊,請參閱辨別名稱的格式。 |
注意
- 路徑
-AsHciOUName
不支援路徑內任何位置的下列特殊字元:&,",',<,>
。 - 也不支援在部署完成之後,將計算機物件移至不同的 OU。
準備 Active Directory
當您準備 Active Directory 時,您會建立專用的組織單位(OU)來放置 Azure 本機相關物件,例如部署使用者。
若要建立專用 OU,請遵循下列步驟:
登入已加入 Active Directory 網域的電腦。
以系統管理員身分執行 PowerShell。
執行下列命令來建立專用 OU。
New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
出現提示時,請提供部署的使用者名稱和密碼。
- 請確定只提供用戶名稱。 名稱不應包含功能變數名稱,例如
contoso\username
。 使用者名稱必須介於 1 到 64 個字元之間,且只包含字母、數位、連字元和底線,且不得以連字元或數位開頭。 - 請確定密碼符合複雜度和長度需求。 使用長度至少為12個字元且包含的密碼:小寫字元、大寫字元、數位和特殊字元。
以下是文稿成功完成的範例輸出:
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force PS C:\work> $user = "ms309deployuser" PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password) PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com" PS C:\work>
- 請確定只提供用戶名稱。 名稱不應包含功能變數名稱,例如
確認已建立 OU。 如果使用 Windows Server 用戶端,請移至 伺服器管理員 > Tools > Active Directory 使用者和電腦。
您應該建立具有指定名稱的 OU,並在該 OU 內看到部署使用者。
注意
如果您要修復單一計算機,請勿刪除現有的 OU。 如果機器磁碟區已加密,刪除 OU 會移除 BitLocker 修復密鑰。