Azure 本機版本 23H2 的自定義 Active Directory 組態
適用於:Azure 本機版本 23H2
本文說明 Azure 本機版本 23H2 部署所需的許可權和 DNS 記錄。 本文也會使用範例,詳細說明如何手動指派許可權,併為Active Directory環境建立 DNS 記錄。
Azure 本機解決方案會部署在大型 Active Directory 中,其中包含已建立的進程和工具來指派許可權。 Microsoft提供 Active Directory 準備腳本 ,可選擇性地用於 Azure 本機部署。 Active Directory 的必要許可權、組織單位的建立,以及封鎖 GPO 的繼承 -- 也可以手動設定。
您也可以選擇要使用的 DNS 伺服器,例如,您可以使用Microsoft支援與 Active Directory 整合的 DNS 伺服器,以利用安全的動態更新。 如果未使用Microsoft DNS 伺服器,您必須為 Azure 本機解決方案的部署和更新建立一組 DNS 記錄。
關於 Active Directory 需求
以下是 Azure 本機部署的一些 Active Directory 需求。
需要專用的組織單位(OU)才能優化物件探索的查詢時間。 對於跨越多個網站的大型 Active Directory 而言,此優化非常重要。 只有計算機物件和 Windows 故障轉移叢集 CNO 才需要此專用 OU。
使用者(也稱為部署使用者)需要專用 OU 的必要許可權。 用戶可以位於目錄中的任何位置。
封鎖組策略繼承是必要的,以防止來自組策略物件的任何設定衝突。 Azure Local 23H2 版引進的新引擎會管理安全性預設值,包括漂移保護。 如需詳細資訊,請參閱 Azure 本機版本 23H2 的安全性功能。
您可以使用 部署用戶預先建立 計算機帳戶物件和叢集 CNO,做為部署本身建立它們的替代方案。
所需的權限
作為部署使用者所參考之用戶物件所需的許可權限定為僅適用於專用 OU。 許可權可以摘要為讀取、建立和刪除計算機物件,且能夠擷取 BitLocker 修復資訊。
下表包含部署使用者和叢集 CNO 透過 OU 和所有子代物件所需的許可權。
| 角色 | 指派許可權的描述 |
|---|---|
| 透過 OU 和所有子代物件的部署使用者 | 列出內容。 讀取所有屬性。 讀取權限。 建立計算機物件。 刪除計算機物件。 |
| 透過 OU 部署使用者,但只套用至子 系 msFVE-Recoveryinformation 物件 | 完全控制。 列出內容。 讀取所有屬性。 寫入所有屬性。 刪除。 讀取權限。 修改許可權。 修改擁有者。 所有已驗證的寫入。 |
| 透過套用至此物件和所有子系物件的 OU 叢集 CNO | 讀取所有屬性。 建立 Computer 物件。 |
使用 PowerShell 指派許可權
您可以使用 PowerShell Cmdlet 將適當的許可權指派給透過 OU 部署使用者。 下列範例示範如何將必要許可權指派給位於Active Directory網域 contoso.com OU HCI001 的部署使用者。
注意
腳本會要求您在Active Directory 中預先建立用戶物件 New-ADUser 和 OU 。 如需如何封鎖組策略繼承的詳細資訊,請參閱 Set-GPInheritance。
執行下列 PowerShell Cmdlet 以匯入 Active Directory 模組並指派必要的許可權:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
必要的 DNS 記錄
如果您的 DNS 伺服器不支援安全的動態更新,您必須先建立必要的 DNS 記錄,才能部署 Azure 本機系統。
下表包含必要的 DNS 記錄和類型:
| Object | 類型 |
|---|---|
| 電腦名稱 | 主機 A |
| 叢集 CNO | 主機 A |
| 叢集 VCO | 主機 A |
注意
每個成為 Azure 本機系統一部分的電腦都需要 DNS 記錄。
範例 - 確認 DNS 記錄存在
若要確認 DNS 記錄存在,請執行下列命令:
nslookup "machine name"
脫離命名空間
當一或多部網域成員計算機的主要 DNS 後綴不符合其 Active Directory 網域的 DNS 名稱時,就會發生脫離命名空間。 例如,如果計算機具有 corp.contoso.com 的 DNS 名稱,但屬於名為 na.corp.contoso.com 的 Active Directory 網域的一部分,則會使用脫離的命名空間。
部署 Azure 本機版本 23H2 之前,您必須:
- 將 DNS 後綴附加至每個節點的管理配接器。
- 確認您可以將主機名解析為 Active Directory 的 FQDN。
範例 - 附加 DNS 後綴
若要附加 DNS 後綴,請執行下列命令:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
範例 - 將主機名解析為 FQDN
若要將主機名解析為 FQDN,請執行下列命令:
nslookup node1.na.corp.contoso.com
注意
您無法使用組策略來設定 DNS 後綴清單與 Azure 本機版本 23H2。
叢集感知更新 (CAU)
叢集感知更新會套用需要 DNS 記錄的用戶端存取點(虛擬計算機物件)。
在無法進行動態安全更新的環境中,您必須手動建立虛擬計算機物件 (VCO)。 如需如何建立 VCO 的詳細資訊,請參閱在 Active Directory 網域服務 中預先設置叢集計算機物件。
注意
請務必在 Windows DNS 用戶端中停用動態 DNS 更新。 此設定會受到漂移控件的保護,並內建於網路ATC中。 停用動態更新后立即建立 VCO,以避免漂移復原。 如需如何變更此受保護設定的詳細資訊,請參閱 修改安全性預設值。
範例 – 停用動態更新
若要停用動態更新,請執行下列命令:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
下一步
繼續進行: