Příprava služby Active Directory pro nasazení Azure Stack HCI verze 23H2

  • Článek

Platí pro: Azure Stack HCI verze 23H2

Tento článek popisuje, jak připravit prostředí Active Directory před nasazením Služby Azure Stack HCI verze 23H2.

Mezi požadavky služby Active Directory pro Azure Stack HCI patří:

  • Vyhrazená organizační jednotka (OU).
  • Dědičnost zásad skupiny blokovaná pro příslušný objekt Zásady skupiny objektu (GPO).
  • Uživatelský účet, který má všechna práva k organizační jednotce ve službě Active Directory.

Poznámka

  • Stávající proces můžete použít ke splnění výše uvedených požadavků. Skript použitý v tomto článku je volitelný a poskytuje se pro zjednodušení přípravy.
  • Pokud je dědičnost zásad skupiny na úrovni organizační jednotky blokovaná, vynucené objekty zásad skupiny se neblokují. Ujistěte se, že všechny příslušné objekty zásad skupiny, které jsou vynucené, jsou blokované také jinými metodami, například pomocí filtrů WMI nebo skupin zabezpečení.

Požadavky

Než začnete, ujistěte se, že jste provedli následující kroky:

  • Splnění požadavků pro nová nasazení Služby Azure Stack HCI

  • Stáhněte a nainstalujte modul verze 2402 z Galerie prostředí PowerShell. Ze složky, ve které se nachází modul, spusťte následující příkaz:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force

    Poznámka

    Před instalací nové verze nezapomeňte odinstalovat všechny předchozí verze modulu.

  • Získali jste oprávnění k vytvoření organizační jednotky. Pokud nemáte oprávnění, obraťte se na správce služby Active Directory.

Modul přípravy služby Active Directory

Modul AsHciADArtifactsPreCreationTool.ps1 slouží k přípravě služby Active Directory. Tady jsou požadované parametry přidružené k rutině:

Parametr Popis
-AzureStackLCMUserCredential Nový objekt uživatele, který je vytvořen s příslušnými oprávněními pro nasazení. Tento účet je stejný jako uživatelský účet používaný nasazením Azure Stack HCI.
Ujistěte se, že je zadané pouze uživatelské jméno. Název by neměl obsahovat název domény, contoso\usernamenapříklad .
Heslo musí splňovat požadavky na délku a složitost. Použijte heslo, které má délku nejméně 12 znaků. Heslo musí také obsahovat tři ze čtyř požadavků: malé písmeno, velké písmeno, číslici a speciální znak.
Další informace najdete v tématu Požadavky na složitost hesla.
Jméno může jako uživatelské jméno používat správce .
-AsHciOUName Nová organizační jednotka (OU) pro ukládání všech objektů pro nasazení Azure Stack HCI. Stávající zásady skupiny a dědičnost jsou v této organizační jednotky blokované, aby nedošlo ke konfliktu nastavení. Organizační jednotka musí být zadána jako rozlišující název (DN). Další informace najdete ve formátu rozlišující názvy.

Poznámka

  • Cesta -AsHciOUName nepodporuje následující speciální znaky kdekoli v cestě - &,”,’,<,>.
  • Přesunutí počítačových objektů do jiné organizační jednotky po dokončení nasazení se také nepodporuje.

Příprava služby Active Directory

Při přípravě služby Active Directory vytvoříte vyhrazenou organizační jednotku (OU), která umístí objekty související se službou Azure Stack HCI, například uživatele nasazení.

Pokud chcete vytvořit vyhrazenou organizační jednotky, postupujte takto:

  1. Přihlaste se k počítači, který je připojený k doméně služby Active Directory.

  2. Spusťte PowerShell jako správce.

  3. Spuštěním následujícího příkazu vytvořte vyhrazenou organizační jednotky.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Po zobrazení výzvy zadejte uživatelské jméno a heslo pro nasazení.

    1. Ujistěte se, že je zadané pouze uživatelské jméno. Název by neměl obsahovat název domény, contoso\usernamenapříklad . Uživatelské jméno musí mít délku 1 až 64 znaků a musí obsahovat pouze písmena, číslice, spojovníky a podtržítka a nesmí začínat spojovníkem nebo číslem.
    2. Ujistěte se, že heslo splňuje požadavky na složitost a délku. Použijte heslo, které je nejméně 12 znaků dlouhé a obsahuje: malá písmena, velká písmena, číslice a speciální znak.

    Tady je ukázkový výstup z úspěšného dokončení skriptu:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Ověřte, že je vytvořená organizační jednotka. Pokud používáte klienta Windows Serveru, přejděte na Uživatelé a počítače služby Active Directory nástroje Správce serveru >>.

  6. Měla by se vytvořit organizační jednotka se zadaným názvem a v rámci této organizační jednotky uvidíte uživatele nasazení.

    Snímek obrazovky s oknem Počítače a uživatelé služby Active Directory

Poznámka

Pokud opravujete jeden server, neodstraňovat existující organizační jednotky. Pokud jsou svazky serveru šifrované, odstranění organizační jednotky odebere obnovovací klíče nástroje BitLocker.

Další kroky