تحديث كلمة مرور حساب التخزين خاصتك في AD DS

  • مقالة

إذا قمت بتسجيل هوية/حساب Active Directory Domain Services (AD DS) الذي يمثل حساب التخزين خاصتك في وحدة تنظيمية أو نطاق يفرض وقت انتهاء صلاحية كلمة المرور، فيجب عليك تغيير كلمة المرور قبل الحد الأقصى لصلاحية كلمة المرور. قد تقوم مؤسستك بتشغيل برامج نصية للتنظيف التلقائي تقوم بحذف الحسابات بمجرد انتهاء صلاحية كلمة المرور الخاصة بها. لهذا السبب، يمكن حذف حسابك إذا لم تُغير كلمة المرور قبل انتهاء صلاحيتها، ما سيؤدي إلى فقد الوصول إلى مشاركات ملف Azure.

لمنع تدوير كلمة المرور غير المقصودة، أثناء إعداد حساب تخزين Azure في المجال، تأكد من وضع حساب تخزين Azure في وحدة تنظيمية منفصلة في AD DS. قم بتعطيل توريث نهج المجموعة على هذه الوحدة التنظيمية لمنع تطبيق نهج المجال الافتراضية أو نهج كلمة مرور معينة.

ملاحظة

يمكن أن تكون هوية حساب التخزين في خدمات مجال Active Directory إما حساب خدمة أو حساب كمبيوتر. يمكن أن تنتهي صلاحية كلمات مرور حساب الخدمة في AD، ومع ذلك، نظرًا لأن تغييرات كلمة مرور حساب الكمبيوتر يُجريها جهاز العميل وليس AD، فصلاحيتها لا تنتهي في AD.

هناك خياران لتشغيل تدوير كلمة المرور. يمكنك استخدام الوحدة النمطية AzFilesHybrid أو Active Directory PowerShell. استخدم أسلوبا واحدا، وليس كلاهما.

ينطبق على

نوع مشاركة الملف SMB NFS
مشاركات الملفات القياسية (GPv2)، LRS/ZRS نعم لا
مشاركات الملفات القياسية (GPv2)، GRS/GZRS نعم لا
مشاركات الملفات المتميزة (FileStorage)، LRS/ZRS نعم لا

استخدام الوحدة النمطية AzFilesHybrid

يمكنك تشغيل Update-AzStorageAccountADObjectPassword cmdlet من الوحدة النمطية AzFilesHybrid. يجب تشغيل هذا الأمر في بيئة محلية مرتبطة ب AD DS بواسطة هوية مختلطة مع إذن المالك لحساب التخزين وأذونات AD DS لتغيير كلمة مرور الهوية التي تمثل حساب التخزين. يقوم الأمر بتنفيذ إجراءات مماثلة لدوران مفتاح حساب التخزين. على وجه التحديد، يحصل على مفتاح Kerberos الثاني لحساب التخزين ويستخدمه لتحديث كلمة مرور الحساب المسجل في AD DS. ثم يقوم بإعادة إنشاء مفتاح Kerberos الهدف لحساب التخزين وتحديث كلمة مرور الحساب المسجل في AD DS.

# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
        -RotateToKerbKey kerb2 `
        -ResourceGroupName "<your-resource-group-name-here>" `
        -StorageAccountName "<your-storage-account-name-here>"

سيؤدي هذا الإجراء إلى تغيير كلمة المرور لكائن AD من kerb1 إلى kerb2. تهدف هذه العملية إلى أن تكون عملية من مرحلتين: تدوير من kerb1 إلى kerb2 (سيتم إعادة إنشاء kerb2 على حساب التخزين قبل تعيينه)، والانتظار عدة ساعات، ثم تدوير مرة أخرى إلى kerb1 (سيعيد cmdlet هذا بالمثل إنشاء kerb1).

استخدام Active Directory PowerShell

إذا كنت لا تريد تنزيل الوحدة النمطية AzFilesHybrid ، يمكنك استخدام Active Directory PowerShell.

هام

يجب تشغيل أوامر Cmdlets ل Windows Server Active Directory PowerShell في هذا القسم في Windows PowerShell 5.1 بامتيازات مرتفعة. لن يعمل PowerShell 7.x و Azure Shell للسحابة في هذا السيناريو.

استبدل <domain-object-identity> في البرنامج النصي التالي بقيمتك، ثم قم بتشغيل البرنامج النصي لتحديث كلمة مرور كائن المجال:

$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force

Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword