Megosztás a következőn keresztül:

Az Active Directory előkészítése az Azure Stack HCI 23H2-es verziójához

  • Cikk

A következőkre vonatkozik: Azure Stack HCI, 23H2-es verzió

Ez a cikk azt ismerteti, hogyan készítse elő az Active Directory-környezetet az Azure Stack HCI 23H2-es verziójának üzembe helyezése előtt.

Az Azure Stack HCI Active Directory-követelményei a következők:

  • Egy dedikált szervezeti egység (OU).
  • A vonatkozó csoportházirend-objektum (GPO) számára letiltott csoportházirend-öröklés.
  • Olyan felhasználói fiók, amely rendelkezik az Active Directory szervezeti egységével kapcsolatos összes joggal.
  • A gépeket nem szabad az Active Directoryhoz csatlakoztatni az üzembe helyezés előtt.

Feljegyzés

  • A meglévő folyamat használatával megfelelhet a fenti követelményeknek. A cikkben használt szkript nem kötelező, és az előkészítés egyszerűsítése érdekében van megadva.
  • Ha a csoportházirend öröklése a szervezeti egység szintjén le van tiltva, a kényszerített csoportházirend-objektumok nem lesznek blokkolva. Győződjön meg arról, hogy az érvényesített csoportházirend-objektumokat más módszerekkel, például WMI-szűrőkkel vagy biztonsági csoportokkal is letiltja a rendszer.

Az Active Directoryhoz szükséges engedélyek manuális hozzárendeléséhez, szervezeti egység létrehozásához és a csoportházirend-objektum öröklésének letiltásához tekintse meg az Azure Stack HCI 23H2-es verziójának egyéni Active Directory-konfigurációját.

Előfeltételek

Mielőtt hozzákezdene, győződjön meg arról, hogy elvégezte a következőket:

Active Directory-előkészítési modul

Az New-HciAdObjectsPreCreation AsHciADArtifactsPreCreationTool PowerShell-modul parancsmagja az Active Directory Azure Stack HCI-üzemelő példányokhoz való előkészítésére szolgál. A parancsmaghoz a következő paraméterek tartoznak:

Paraméter Leírás
-AzureStackLCMUserCredential Az üzembe helyezéshez megfelelő engedélyekkel létrehozott új felhasználói objektum. Ez a fiók megegyezik az Azure Stack HCI üzembe helyezése által használt felhasználói fiókkal.
Győződjön meg arról, hogy csak a felhasználónév van megadva. A név nem tartalmazhatja például contoso\usernamea tartománynevet.
A jelszónak meg kell felelnie a hosszra és az összetettségre vonatkozó követelményeknek. Legalább 12 karakter hosszú jelszót használjon. A jelszónak a négy követelményből háromnak is tartalmaznia kell: kisbetűt, nagybetűt, számot és speciális karaktert.
További információkért tekintse meg a jelszó összetettségi követelményeit.
A név rendszergazdai felhasználónevet is használhat.
-AsHciOUName Új szervezeti egység (OU) az Azure Stack HCI üzembe helyezéséhez szükséges összes objektum tárolására. A szervezeti egység letiltja a meglévő csoportházirendeket és öröklést, így biztosítva, hogy ne legyen ütközés a beállítások között. A szervezeti egységet megkülönböztető névként (DN) kell megadni. További információ: Megkülönböztető nevek formátuma.

Feljegyzés

  • Az -AsHciOUName elérési út nem támogatja a következő speciális karaktereket az elérési úton belül: &,",',<,>.
  • A számítógép-objektumok áthelyezése egy másik szervezeti egységbe az üzembe helyezés befejezése után szintén nem támogatott.

Az Active Directory előkészítése

Az Active Directory előkészítésekor létre kell hoznia egy dedikált szervezeti egységet (OU) az Azure Stack HCI-hez kapcsolódó objektumok, például az üzembehelyezési felhasználó elhelyezéséhez.

Dedikált szervezeti egység létrehozásához kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Active Directory-tartományhoz csatlakoztatott számítógépre.

  2. Futtassa a PowerShellt rendszergazdaként.

  3. Futtassa a következő parancsot a dedikált szervezeti egység létrehozásához.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Amikor a rendszer kéri, adja meg az üzembe helyezés felhasználónevét és jelszavát.

    1. Győződjön meg arról, hogy csak a felhasználónév van megadva. A név nem tartalmazhatja például contoso\usernamea tartománynevet. A felhasználónévnek 1 és 64 karakter közöttinek kell lennie, és csak betűket, számokat, kötőjeleket és aláhúzásjeleket tartalmazhat, és nem kezdődhet kötőjellel vagy számmal.
    2. Győződjön meg arról, hogy a jelszó megfelel az összetettségi és hosszúsági követelményeknek. Használjon legalább 12 karakter hosszú jelszót, amely kisbetűt, nagybetűt, számot és speciális karaktert tartalmaz.

    Íme egy mintakimenet a szkript sikeres befejezéséből:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Ellenőrizze, hogy létrejött-e a szervezeti egység. Windows Server-ügyfél használata esetén lépjen Kiszolgálókezelő > Eszközök > Active Directory - felhasználók és számítógépek.

  6. Létre kell hozni egy szervezeti egységet a megadott névvel, és ebben a szervezeti egységben megjelenik az üzembehelyezési felhasználó.

    Képernyőkép az Active Directory számítógépek és felhasználók ablakáról.

Feljegyzés

Ha egyetlen kiszolgálót javít, ne törölje a meglévő szervezeti egységet. Ha a kiszolgáló kötetei titkosítva vannak, a szervezeti egység törlése eltávolítja a BitLocker helyreállítási kulcsait.

Következő lépések