Sdílet prostřednictvím

Příprava Active Directory pro místní nasazení Azure

  • Článek

Platí pro: Azure Local 2311.2 a novější

Tento článek popisuje, jak připravit prostředí Active Directory před nasazením azure Local.

Požadavky služby Active Directory pro místní Azure zahrnují:

  • Vyhrazená organizační jednotka (OU).
  • Dědičnost zásad skupiny, která je blokovaná pro příslušný objekt zásad skupiny (GPO).
  • Uživatelský účet, který má všechna práva na organizační jednotky ve službě Active Directory.
  • Počítače nesmí být před nasazením připojené ke službě Active Directory.

Poznámka:

  • Ke splnění výše uvedených požadavků můžete použít stávající proces. Skript použitý v tomto článku je volitelný a poskytuje se ke zjednodušení přípravy.
  • Pokud je dědičnost zásad skupiny blokovaná na úrovni organizační jednotky, objekty zásad skupiny s aktivovanou volbou vynucení nejsou blokované. Pokud je to možné, ujistěte se, že jsou tyto objekty zásad skupiny blokované jinými metodami, například pomocí WMI (Windows Management Instrumentation) filtru . Pokud chcete vyloučit účty počítačů pro lokální instance Azure z použití objektů zásad skupiny, použijte filtr rozhraní WMI na všechny vynucené objekty zásad skupiny. Po použití filtru se vynucené objekty zásad skupiny nepoužijí na základě logiky definované ve WMI filtru.

Pokud chcete ručně přiřadit požadovaná oprávnění ke službě Active Directory, vytvořte organizační jednotku, poté zablokujte dědičnost objektů zásad skupiny, a nakonec si přečtěte téma Vlastní konfigurace Active Directory pro místní Azure.

Požadavky

Modul přípravy služby Active Directory

Cmdlet New-HciAdObjectsPreCreation v modulu PowerShell AsHciADArtifactsPreCreationTool se používá k přípravě Active Directory pro nasazení Azure Local. Tady jsou požadované parametry přidružené k cmdletu:

Parametr Popis
-AzureStackLCMUserCredential Nový objekt uživatele, který je vytvořen s příslušnými oprávněními pro nasazení. Tento účet je stejný jako uživatelský účet používaný místním nasazením Azure.
Ujistěte se, že je zadané jenom uživatelské jméno. Název by neměl obsahovat název domény, například contoso\username.
Heslo musí odpovídat požadavkům na délku a složitost. Použijte heslo, které má délku nejméně 12 znaků. Heslo musí obsahovat také tři z těchto čtyř požadavků: malá písmena, velká písmena, číslice a speciální znak.
Další informace najdete v požadavcích na složitost hesla.
Název nemůže být úplně stejný jako uživatel místního správce.
Jméno může použít admin jako uživatelské jméno.
-AsHciOUName Nová organizační jednotka (OU) pro uložení všech objektů pro místní nasazení Azure. Stávající zásady skupiny a dědičnost jsou v této organizační jednotce zablokované, aby nedošlo ke konfliktu nastavení. Organizační jednotka musí být zadána jako rozlišující název (DN). Další informace naleznete ve formátu rozlišující názvy.

Poznámka:

  • Cesta -AsHciOUName nepodporuje následující speciální znaky kdekoli v cestě: &,",',<,>.
  • Po dokončení nasazení se přesun objektů počítače do jiné organizační jednotky nepodporuje.

Příprava služby Active Directory

Při přípravě služby Active Directory vytvoříte vyhrazenou organizační jednotku (OU) pro umístění místních objektů souvisejících s Azure, jako je uživatel nasazení.

Pokud chcete vytvořit vyhrazenou organizační jednotky, postupujte takto:

  1. Přihlaste se k počítači, který je připojený k vaší doméně služby Active Directory.

  2. Spusťte PowerShell jako správce.

  3. Spusťte následující příkaz pro vytvoření vyhrazené organizační jednotky.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Po zobrazení výzvy zadejte uživatelské jméno a heslo pro nasazení.

    1. Ujistěte se, že je zadané jenom uživatelské jméno. Název by neměl obsahovat název domény, například contoso\username. Uživatelské jméno musí mít délku 1 až 64 znaků a musí obsahovat jenom písmena, číslice, pomlčky a podtržítka a nesmí začínat spojovníkem nebo číslem.
    2. Ujistěte se, že heslo splňuje požadavky na složitost a délku. Použijte heslo, které má délku nejméně 12 znaků a obsahuje: malá písmena, velká písmena, číslice a speciální znak.

    Tady je ukázkový výstup z úspěšného dokončení skriptu:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Ověřte, že bylo OU vytvořeno. Pokud používáte klienta Systému Windows Server, přejděte na Nástroje > Správce > serveru Uživatelé a počítače služby Active Directory.

  6. Vytvoří se organizační jednotky se zadaným názvem. Tato organizační jednotka obsahuje nový uživatelský účet pro nasazení Správce životního cyklu (LCM).

    Snímek obrazovky s oknem Uživatelé a počítače služby Active Directory

Poznámka:

Pokud opravujete samostatný počítač, neodstraňujte stávající organizační jednotku. Pokud jsou svazky počítače šifrované, smazáním organizační jednotky odeberete obnovovací klíče pro BitLocker.

Úvahy o nasazeních ve velkém měřítku

Uživatelský účet LCM se používá během servisních operací, jako je použití aktualizací prostřednictvím PowerShellu. Tento účet se také používá při provádění akcí připojení k doméně ve službě AD, jako je oprava uzlu nebo přidání uzlu. To vyžaduje, aby identita uživatele LCM s delegovanými oprávněními přidávala účty počítačů do cílové organizační jednotky v místní doméně.

Během cloudového nasazení Azure Local je uživatelský účet LCM přidán do místní skupiny administrátorů fyzických uzlů. Pokud chcete zmírnit riziko ohroženého uživatelského účtu LCM, doporučujeme mít pro každou místní instanci Azure vyhrazený uživatelský účet LCM s jedinečným heslem. Toto doporučení omezuje rozsah a dopad ohroženého účtu LCM na jednu instanci.

Doporučujeme postupovat podle těchto osvědčených postupů pro vytvoření organizační jednotky. Tato doporučení jsou automatizovaná při použití rutiny New-HciAdObjectsPreCreation k přípravě služby Active Directory.

  • Pro každou místní instanci Azure vytvořte v active directory individuální organizační jednotky. Tento přístup pomáhá spravovat uživatelský účet LCM, účty fyzických strojů a objekt názvu clusteru (CNO) v rámci jedné organizační jednotky pro každou instanci.
  • Při nasazování více instancí ve velkém měřítku pro snadnější správu:
    • Vytvořte jednu organizační jednotku v rámci jedné nadřazené organizační jednotky pro každou instanci.
    • Povolte možnost Blokovat dědičnost na úrovních nadřazené organizační jednotky i dílčí organizační jednotky.
    • Pokud chcete objekt zásad skupiny použít pro všechny lokální instance Azure, například pro vnoření doménové skupiny v místní skupině administrátorů, propojte objekt zásad skupiny s nadřazenou organizační jednotkou a povolte možnost Vynuceno. Tímto způsobem použijete konfiguraci u všech dílčích organizačních jednotek, i když je Blokování dědičnosti povoleno.

Pokud procesy a postupy vaší organizace vyžadují odchylky od těchto doporučení, jsou povolené. Je důležité zvážit důsledky v oblasti bezpečnosti a spravovatelnosti návrhu s ohledem na tyto faktory.

Další kroky