A tárfiók identitásának jelszavának frissítése az AD DS-ben

Ha regisztrálta a Active Directory tartományi szolgáltatások (AD DS) identitást/fiókot, amely a tárfiókot egy olyan szervezeti egységben vagy tartományban jelöli, amely a jelszó lejárati idejét érvényesíti, a jelszót a jelszó maximális életkora előtt kell módosítania. A szervezet automatikus törlési szkripteket futtathat, amelyek a jelszó lejárta után törlik a fiókokat. Emiatt, ha nem módosítja a jelszavát a lejárat előtt, a fiók törölhető, ami miatt elveszíti az Azure-fájlmegosztásokhoz való hozzáférést.

A jelszó nem szándékos rotálásának megakadályozása érdekében az Azure Storage-fiók előkészítése során a tartományban győződjön meg arról, hogy az Azure Storage-fiókot egy külön szervezeti egységbe helyezi az AD DS-ben. Tiltsa le a csoportházirendek öröklését ezen a szervezeti egységen, hogy megakadályozza az alapértelmezett tartományi szabályzatok vagy adott jelszóházirendek alkalmazását.

Feljegyzés

Az AD DS tárfiók-identitása lehet szolgáltatásfiók vagy számítógépfiók. A szolgáltatásfiók jelszavai az Active Directoryban (AD) lejárhatnak; Mivel azonban a számítógépfiók jelszavas módosításait az ügyfélszámítógép vezérli, és nem az AD, nem járnak le az AD-ben.

A jelszó forgatásának aktiválására két lehetőség van. Használhatja a modult vagy az AzFilesHybrid Active Directory PowerShellt. Használja az egyik módszert, nem mindkettőt.

A következőre érvényes:

Fájlmegosztás típusa	SMB	NFS
Standard szintű fájlmegosztások (GPv2), LRS/ZRS
Standard szintű fájlmegosztások (GPv2), GRS/GZRS
Prémium fájlmegosztások (FileStorage), LRS/ZRS

1. lehetőség: AzFilesHybrid modul használata

A parancsmagot Update-AzStorageAccountADObjectPassword az AzFilesHybrid modulból futtathatja. Ezt a parancsot egy helyszíni AD DS-hez csatlakoztatott környezetben kell futtatnia egy hibrid identitással , amely tulajdonosi engedéllyel rendelkezik a tárfiókhoz, és az AD DS engedélyekkel módosítja a tárfiókot képviselő identitás jelszavát. A parancs a tárfiókkulcs-rotációhoz hasonló műveletet hajt végre. Konkrétan, lekéri a tárfiók második Kerberos-kulcsát, és a regisztrált fiók jelszavának frissítésére használja az AD DS-ben. Ezután újragenerálja a tárfiók Kerberos-kulcsát, és frissíti a regisztrált fiók jelszavát az AD DS-ben.

# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
        -RotateToKerbKey kerb2 `
        -ResourceGroupName "<your-resource-group-name-here>" `
        -StorageAccountName "<your-storage-account-name-here>"

Ez a művelet az AD-objektum jelszavát kerb1-ről kerb2-re módosítja. Ez egy kétfázisú folyamat: forgasson kerb1-ről kerb2-re (a kerb2 újra létrejön a tárfiókban a beállítás előtt), várjon néhány órát, majd forgasson vissza kerb1-re (ez a parancsmag hasonlóképpen újra létrehozza a kerb1-et).

2. lehetőség: Az Active Directory PowerShell használata

Ha nem szeretné letölteni a modult, használhatja az AzFilesHybrid Active Directory PowerShellt.

Fontos

Az ebben a szakaszban található Windows Server Active Directory PowerShell-parancsmagokat emelt szintű jogosultságokkal rendelkező Windows PowerShell 5.1-ben kell futtatni. Ebben a forgatókönyvben a PowerShell 7.x és az Azure Cloud Shell nem működik.

Cserélje le <domain-object-identity> a következő szkriptet az értékére, majd futtassa a szkriptet a tartományobjektum jelszavának frissítéséhez:

$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force

Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword