Aktualisieren des Kennworts für Ihre Speicherkontoidentität in AD DS

  • Artikel

Wenn Sie die AD DS-Identität/das AD DS-Konto (Active Directory Domain Services), die bzw. das Ihr Speicherkonto darstellt, in einer Organisationseinheit oder Domäne registriert haben, die einen Ablaufzeitpunkt für Kennwörter erzwingt, müssen Sie das Kennwort vor dem maximalen Kennwortalter ändern. Möglicherweise führt Ihre Organisation automatische Bereinigungsskripts aus, die Konten bei Ablauf des Kennworts löschen. Wenn Sie Ihr Kennwort nicht ändern, bevor es abläuft, könnte Ihr Konto daher gelöscht werden. Dadurch würden Sie den Zugriff auf Ihre Azure-Dateifreigaben verlieren.

Wenn Sie eine unbeabsichtigte Kennwortrotation verhindern möchten, müssen Sie beim Onboarding des Azure Storage-Kontos in der Domäne dieses Konto in AD DS unbedingt in einer separaten Organisationseinheit platzieren. Deaktivieren Sie die Vererbung von Gruppenrichtlinien für diese Organisationseinheit, um zu verhindern, dass Standard-Domänenrichtlinien oder bestimmte Kennwortrichtlinien angewendet werden.

Hinweis

Eine Speicherkontoidentität in AD DS kann entweder ein Dienstkonto oder ein Computerkonto sein. Kennwörter von Dienstkonten können in AD ablaufen. Da Änderungen des Computerkontokennworts jedoch vom Clientcomputer und nicht von AD gesteuert werden, laufen sie in AD nicht ab.

Es gibt zwei Optionen zum Auslösen der Kennwortrotation. Sie können das Modul AzFilesHybrid oder Active Directory PowerShell verwenden. Verwenden Sie nur eine Methode, nicht beide.

Gilt für:

Dateifreigabetyp SMB NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS Ja Nein
Standard-Dateifreigaben (GPv2), GRS/GZRS Ja Nein
Premium-Dateifreigaben (FileStorage), LRS/ZRS Ja Nein

Verwenden des Moduls „AzFilesHybrid“

Sie können das Cmdlet „Update-AzStorageAccountADObjectPassword“ aus dem Modul „AzFilesHybrid“ ausführen. Dieser Befehl muss in einer lokalen mit AD DS verknüpften Umgebung von einer Hybrididentität ausgeführt werden, die über die Besitzerberechtigung für das Speicherkonto und AD DS-Berechtigungen zum Ändern des Kennworts der Identität verfügt, die das Speicherkonto darstellt. Er führt Aktionen aus, die der Speicherkonto-Schlüsselrotation ähneln. Genauer gesagt ruft er den zweiten Kerberos-Schlüssel des Speicherkontos ab und aktualisiert damit das Kennwort für das registrierte Konto in AD DS. Anschließend generiert es den Kerberos-Zielschlüssel des Speicherkontos neu und aktualisiert das Kennwort für das registrierte Konto in AD DS.

# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
        -RotateToKerbKey kerb2 `
        -ResourceGroupName "<your-resource-group-name-here>" `
        -StorageAccountName "<your-storage-account-name-here>"

Durch diese Aktion wird das Kennwort für das AD-Objekt von „kerb1“ in „kerb2“ geändert. Dies ist als zweistufiger Prozess vorgesehen: Rotieren von „kerb1“ zu „kerb2“ („kerb2“ wird für das Speicherkonto neu generiert, bevor es festgelegt wird), mehrere Stunden warten und dann zurück zu „kerb1“ rotieren (dieses Cmdlet wird „kerb1“ ebenfalls neu generieren).

Verwenden von Active Directory PowerShell

Wenn Sie das Modul AzFilesHybrid nicht herunterladen möchten, können Sie Active Directory PowerShell verwenden.

Wichtig

Die Windows Server Active Directory PowerShell-Cmdlets in diesem Abschnitt müssen in Windows PowerShell 5.1 mit erhöhten Rechten ausgeführt werden. PowerShell 7.x und Azure Cloud Shell funktionieren in diesem Szenario nicht.

Ersetzen Sie <domain-object-identity> im folgenden Skript durch Ihren Wert. Führen Sie dann das Skript aus, um Ihr Domänenobjektkennwort zu aktualisieren:

$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force

Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword