Active Directory kapcsolatok létrehozása és kezelése Azure NetApp fájlok számára
Az Azure NetApp Files számos szolgáltatásához Active Directory-kapcsolat szükséges. Az SMB-kötet, az NFSv4.1 Kerberos-kötet vagy a kettős protokollú kötet létrehozása előtt például Active Directory-kapcsolatra van szükség. Ez a cikk bemutatja, hogyan hozhat létre és kezelhet Active Directory-kapcsolatokat az Azure NetApp Fileshoz.
Az Active Directory-kapcsolatokra vonatkozó követelmények és szempontok
Fontos
Kövesse a Active Directory tartományi szolgáltatások azure NetApp Files Active Directory tartományi szolgáltatások (AD DS) vagy az Azure NetApp Fileshoz használt Microsoft Entra Domain Services webhelytervezési és -tervezési irányelveit ismertető útmutatót. Az AD-kapcsolat létrehozása előtt tekintse át az Azure NetApp Files Active Directory-kapcsolatainak módosítását, hogy megértse, milyen hatással van az AD-kapcsolat konfigurációs beállításainak módosítására az AD-kapcsolat létrehozása után. Az AD-kapcsolat konfigurációs beállításainak módosítása megzavarja az ügyfélhozzáférést, és bizonyos beállítások egyáltalán nem módosíthatók.
Azure NetApp Files-fiókot kell létrehozni abban a régióban, ahol az Azure NetApp Files-kötetek üzembe vannak helyezve.
Előfizetésenként régiónként csak egy Active Directory-(AD-) kapcsolatot konfigurálhat.
Az Azure NetApp Files nem támogat több AD-kapcsolatot egyetlen régióban, még akkor sem, ha az AD-kapcsolatok különböző NetApp-fiókokban vannak létrehozva. Egyetlen előfizetésben azonban több AD-kapcsolat is lehet, ha az AD-kapcsolatok különböző régiókban találhatók. Ha egyetlen régióban több AD-kapcsolatra van szüksége, ehhez külön előfizetéseket használhat.
Az AD-kapcsolat csak a létrehozott NetApp-fiókon keresztül látható. Engedélyezheti azonban, hogy a megosztott AD szolgáltatás lehetővé tegye, hogy az azonos előfizetésben és régióban lévő NetApp-fiókok ugyanazt az AD-kapcsolatot használják. Lásd: Több NetApp-fiók leképezése ugyanabban az előfizetésben és régióban egy AD-kapcsolatra.
Az Azure NetApp Files AD kapcsolati rendszergazdai fiókjának a következő tulajdonságokkal kell rendelkeznie:
- Egy AD DS tartományi felhasználói fióknak kell lennie ugyanabban a tartományban, ahol az Azure NetApp Files számítógépfiókok létre lettek hozva.
- Az AD-kapcsolat Szervezeti egység elérési útjának beállításában megadott AD DS szervezeti egység elérési útján számítógépfiókok (például AD-tartományhoz való csatlakozás) létrehozásához szükséges engedéllyel kell rendelkeznie.
- Nem lehet csoport által felügyelt szolgáltatásfiók.
Az AD kapcsolatadminisztrátori fiók támogatja a Kerberos AES-128 és a Kerberos AES-256 titkosítási típusait az AD DS-vel való hitelesítéshez az Azure NetApp Files számítógépfiókjainak létrehozásához (például AD-tartományhoz való csatlakozási műveletek).
Ha engedélyezni szeretné az AES-titkosítást az Azure NetApp Files AD kapcsolatadminisztrátori fiókon, olyan AD tartományi felhasználói fiókot kell használnia, amely az alábbi AD DS-csoportok egyikének tagja:
- Tartományi rendszergazdák
- Vállalati rendszergazdák
- Rendszergazdák
- Fiókfelelősök
- Microsoft Entra Domain Services Rendszergazda istrators _ (csak Microsoft Entra Domain Services)_
- Másik lehetőségként az AD-kapcsolat rendszergazdai fiókján írási engedéllyel rendelkező
msDS-SupportedEncryptionTypes
AD-tartományi felhasználói fiók is használható a Kerberos titkosítástípus tulajdonság beállításához az AD kapcsolati rendszergazdai fiókban.
Megjegyzés:
Amikor úgy módosítja a beállítást, hogy engedélyezze az AES-t az AD kapcsolatadminisztrátori fiókon, ajánlott olyan felhasználói fiókot használni, amely írási engedéllyel rendelkezik az AD-objektumra, amely nem az Azure NetApp Files AD-rendszergazda. Ezt egy másik tartományi rendszergazdai fiókkal vagy egy fiókra való delegálással teheti meg. További információ: Rendszergazda istration delegálása szervezeti egység objektumokkal.
Ha az AD-kapcsolat rendszergazdai fiókjában az AES-128 és az AES-256 Kerberos titkosítást is beállítja, az AD DS által támogatott legmagasabb szintű titkosítás lesz használva.
Az AD-kapcsolat rendszergazdai fiókjának AES-titkosítási támogatásának engedélyezéséhez futtassa az alábbi Active Directory PowerShell-parancsokat:
Get-ADUser -Identity <ANF AD connection account username> Set-ADUser -KerberosEncryptionType <encryption_type>
KerberosEncryptionType
egy többértékű paraméter, amely támogatja az AES-128 és az AES-256 értékeket.További információkért tekintse meg a Set-ADUser dokumentációját.
Ha bizonyos Kerberos-titkosítási típusok engedélyezésére és letiltására van szükség az Azure NetApp Filesban használt, tartományhoz csatlakoztatott Windows-gazdagépek Active Directory-számítógépfiókjaihoz, akkor a csoportházirendet
Network Security: Configure Encryption types allowed for Kerberos
kell használnia.Ne állítsa be a beállításkulcsot
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes
. Ezzel megszakítja a Kerberos-hitelesítést az Azure NetApp Files szolgáltatással azon Windows-gazdagépen, ahol ezt a beállításkulcsot manuálisan állította be.Megjegyzés:
Az alapértelmezett házirend-beállítás a
Network Security: Configure Encryption types allowed for Kerberos
következőNot Defined
: . Ha ez a házirend-beállítás be van állítvaNot Defined
, a DES kivételével minden titkosítási típus elérhető lesz a Kerberos-titkosításhoz. Lehetősége van csak bizonyos Kerberos-titkosítási típusok (példáulAES128_HMAC_SHA1
)AES256_HMAC_SHA1
támogatásának engedélyezésére. Az alapértelmezett szabályzatnak azonban a legtöbb esetben elegendőnek kell lennie, amikor engedélyezi az AES-titkosítási támogatást az Azure NetApp Files használatával.További információ: Hálózati biztonság: A Kerberos vagy a Támogatott Kerberos-titkosítási típusok Windows-konfigurációi számára engedélyezett titkosítási típusok konfigurálása
Az LDAP-lekérdezések csak az Active Directory-kapcsolatokban (az AD DNS-tartománynév mező) megadott tartományban lépnek érvénybe. Ez a viselkedés az NFS, az SMB és a kettős protokollú kötetekre vonatkozik.
-
Alapértelmezés szerint az LDAP-lekérdezések időtúllépést eredményeznek, ha nem hajtható végre időben. Ha egy LDAP-lekérdezés időtúllépés miatt hiúsul meg, a felhasználó és/vagy csoportkeresés sikertelen lesz, és az Azure NetApp Files-kötethez való hozzáférés a kötet engedélybeállításaitól függően megtagadható.
A lekérdezési időtúllépések nagy LDAP-környezetekben fordulhatnak elő, sok felhasználó- és csoportobjektummal, lassú WAN-kapcsolatokon keresztül, és ha egy LDAP-kiszolgáló túl van használva a kérésekkel. Az Azure NetApp Files LDAP-lekérdezések időtúllépési beállítása 10 másodpercre van állítva. Fontolja meg a felhasználó és a csoport DN-funkcióinak kihasználását az Active Directory Csatlakozás az LDAP-kiszolgáló kereséseinek szűréséhez, ha LDAP-lekérdezés időtúllépési problémái vannak.
Active Directory-kapcsolat létrehozása
A NetApp-fiókjában válassza az Active Directory-kapcsolatok, majd a Csatlakozás lehetőséget.
Megjegyzés:
Az Azure NetApp Files csak egy Active Directory-kapcsolatot támogat ugyanabban a régióban és ugyanazon előfizetésben.
Az Active Directoryhoz való csatlakozás ablakban adja meg a következő információkat a használni kívánt tartományi szolgáltatások alapján:
Elsődleges DNS (kötelező)
Ez az elsődleges DNS-kiszolgáló IP-címe, amely szükséges az Active Directory-tartománybeléptetési műveletekhez, az SMB-hitelesítéshez, a Kerberoshoz és az LDAP-műveletekhez.Másodlagos DNS
Ez annak a másodlagos DNS-kiszolgálónak az IP-címe, amely az Active Directory-tartománycsatlakozási műveletekhez, az SMB-hitelesítéshez, a Kerberoshoz és az LDAP-műveletekhez szükséges.Megjegyzés:
Javasoljuk, hogy konfiguráljon egy másodlagos DNS-kiszolgálót. Lásd az Azure NetApp Files Active Directory tartományi szolgáltatások webhelytervezésének és tervezésének irányelveit. Győződjön meg arról, hogy a DNS-kiszolgáló konfigurációja megfelel az Azure NetApp Files követelményeinek. Ellenkező esetben előfordulhat, hogy az Azure NetApp Files szolgáltatásműveletei, SMB-hitelesítése, Kerberos- vagy LDAP-műveletei meghiúsulnak.
A Microsoft Entra Domain Services használata esetén a Microsoft Entra Domain Services tartományvezérlőinek IP-címét kell használnia az elsődleges DNS-hez és a másodlagos DNS-hez.
AD DNS-tartománynév (kötelező)
Ez az Azure NetApp Fileshoz (példáulcontoso.com
) használt AD DS teljes tartományneve.AD-webhely neve (kötelező)
Ezt az AD DS-webhelynevet fogja használni az Azure NetApp Files a tartományvezérlő felderítéséhez.Az AD DS és a Microsoft Entra Domain Services alapértelmezett webhelyneve az
Default-First-Site-Name
. Ha át szeretné nevezni a webhely nevét, kövesse a helynevek elnevezési konvencióit.Megjegyzés:
Lásd az Azure NetApp Files Active Directory tartományi szolgáltatások webhelytervezésének és tervezésének irányelveit. Győződjön meg arról, hogy az AD DS-webhely kialakítása és konfigurálása megfelel az Azure NetApp Files követelményeinek. Ellenkező esetben előfordulhat, hogy az Azure NetApp Files szolgáltatásműveletei, SMB-hitelesítése, Kerberos- vagy LDAP-műveletei meghiúsulnak.
SMB-kiszolgáló (számítógépfiók) előtagja (kötelező)
Ez az Azure NetApp Files SMB-hez, kettős protokollhoz és NFSv4.1 Kerberos-kötetekhez készült AD DS-ben létrehozott új számítógépfiókok elnevezési előtagja.Ha például a szervezet által a fájlszolgáltatásokhoz
NAS-01
használt elnevezési szabvány az ,NAS-02
és így tovább, akkor az előtagot kell használniaNAS
.Az Azure NetApp Files szükség szerint további számítógépfiókokat hoz létre az AD DS-ben.
Fontos
Az Active Directory-kapcsolat létrehozása után az SMB-kiszolgáló előtagjának átnevezése zavaró. Az SMB-kiszolgáló előtagjának átnevezése után újra kell csatlakoztatnia a meglévő SMB-megosztásokat.
Szervezeti egység elérési útja
Ez a szervezeti egység (OU) LDAP-elérési útja, ahol SMB-kiszolgálói számítógépfiókok jönnek létre. Vagyis.OU=second level, OU=first level
Ha például a tartomány gyökerében létrehozott szervezeti egységetANF
szeretne használni, az érték a következő leszOU=ANF
: .Ha nincs megadva érték, az Azure NetApp Files fogja használni a tárolót
CN=Computers
.Ha az Azure NetApp Filest a Microsoft Entra Domain Services szolgáltatással használja, a szervezeti egység elérési útja a következő:
OU=AADDC Computers
AES-titkosítás
Ez a beállítás lehetővé teszi az AES-titkosítási hitelesítés támogatását az AD-kapcsolat rendszergazdai fiókjához.A követelményekért tekintse meg az Active Directory-kapcsolatok követelményeit.
-
Ez a beállítás engedélyezi az LDAP-aláírást. Ez a funkció lehetővé teszi az egyszerű hitelesítési és biztonsági réteg (SASL) LDAP-kötések integritás-ellenőrzését az Azure NetApp Filesból és a felhasználó által megadott Active Directory tartományi szolgáltatások tartományvezérlőkről.
Az Azure NetApp Files támogatja az LDAP-csatornakötést, ha az Active Directory Csatlakozás ionban engedélyezve van az LDAP-aláírás és az LDAP TLS-beállításokon keresztüli beállítása. További információ: ADV190023 | A Microsoft útmutatója az LDAP-csatornakötés és az LDAP-aláírás engedélyezéséhez.
Megjegyzés:
Az AD DS számítógépfiók(ok) DNS PTR-rekordjait az Azure NetApp Files AD-kapcsolatában megadott AD DS szervezeti egységben kell létrehozni ahhoz, hogy az LDAP-aláírás működjön.
Helyi NFS-felhasználók engedélyezése LDAP-val Ezzel a beállítással a helyi NFS-ügyfélfelhasználók hozzáférhetnek az NFS-kötetekhez. Ha ezt a beállítást választja, letiltja az NFS-kötetek kiterjesztett csoportjait. Emellett a csoportok számát is 16-ra korlátozza. További információ: Engedélyezze az LDAP-val rendelkező helyi NFS-felhasználók számára a kettős protokollú kötet elérését.
LDAP TLS-en keresztül
Ez a beállítás lehetővé teszi az LDAP TLS-en keresztül történő biztonságos kommunikációt egy Azure NetApp Files-kötet és az Active Directory LDAP-kiszolgáló között. Engedélyezheti az LDAP-t TLS-en keresztül az Azure NetApp Files NFS-, SMB- és kétprotokollos köteteihez.
Megjegyzés:
Az LDAP over TLS nem engedélyezhető, ha a Microsoft Entra tartományi szolgáltatásokat használja. A Microsoft Entra Domain Services LDAPS-t (636-os portot) használ az LDAP-forgalom védelmére a TLS-en keresztüli LDAP helyett (389-ös port).
További információ: Active Directory tartományi szolgáltatások (AD DS) LDAP-hitelesítés engedélyezése NFS-kötetekhez.
Kiszolgáló legfelső szintű hitelesítésszolgáltatói tanúsítványa
Ez a beállítás feltölti a TLS-en keresztül használt LDAP-tanúsítványt.
További információ: Active Directory tartományi szolgáltatások (AD DS) LDAP-hitelesítés engedélyezése NFS-kötetekhez.
LDAP keresési tartomány, felhasználói DN, csoport DN és csoporttagság szűrője
Az LDAP keresési hatókör beállítás optimalizálja az Azure NetApp Files storage LDAP-lekérdezéseit a nagyméretű AD DS-topológiák és a kiterjesztett csoportokkal rendelkező LDAP- vagy Unix-biztonsági stílusok használatára egy kétprotokollos Azure NetApp Files-kötettel.
A felhasználói DN és a csoport DN beállításai lehetővé teszik a keresési bázis beállítását az AD DS LDAP-ben.
A Csoporttagság-szűrő beállítással egyéni keresési szűrőt hozhat létre az adott AD DS-csoportok tagjaihoz tartozó felhasználók számára.
Ezekről a lehetőségekről további információt az AD DS LDAP konfigurálása kiterjesztett csoportokkal az NFS-kötethozzáféréshez című témakörben talál.
LDAP-ügyfél előnyben részesített kiszolgálója
Az LDAP-ügyfél előnyben részesített kiszolgálója beállítással legfeljebb két AD-kiszolgáló IP-címét küldheti el vesszővel elválasztott listaként. Ahelyett, hogy egymás után kapcsolatba lépne egy tartomány összes felderített AD-szolgáltatásával, az LDAP-ügyfél először a megadott kiszolgálókkal fog kapcsolatba lépni.
Titkosított SMB-kapcsolatok a tartományvezérlővel
A tartományvezérlővel létesített titkosított SMB-kapcsolatok azt határozzák meg, hogy a titkosítás használható-e az SMB-kiszolgáló és a tartományvezérlő közötti kommunikációhoz. Ha engedélyezve van, a rendszer csak az SMB3-at használja a titkosított tartományvezérlő-kapcsolatokhoz.
This feature is currently in preview. Ha ez az első alkalom, hogy titkosított SMB-kapcsolatokat használ a tartományvezérlőhöz, regisztrálnia kell azt:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFEncryptedSMBConnectionsToDC
Ellenőrizze a szolgáltatásregisztráció állapotát:
Megjegyzés:
A RegistrationState legfeljebb 60 percig lehet állapotban
Registering
, mielőtt átváltanaRegistered
. Várjon, amíg az állapot folytatódikRegistered
.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFEncryptedSMBConnectionsToDC
Használhatja az Azure CLI-parancsokat
az feature register
is, ésaz feature show
regisztrálhatja a funkciót, és megjelenítheti a regisztrációs állapotot.Biztonsági mentési szabályzat felhasználói Ez a beállítás további biztonsági jogosultságokat biztosít az AD DS-tartomány azon felhasználóinak vagy csoportjainak, amelyek emelt szintű biztonsági mentési jogosultságot igényelnek az Azure NetApp Files biztonsági mentési, visszaállítási és migrálási munkafolyamatainak támogatásához. A megadott AD DS-felhasználói fiókok vagy -csoportok emelt szintű NTFS-engedélyekkel rendelkeznek a fájl- vagy mappaszinten.
A Biztonsági mentési házirend felhasználói beállításainak használatakor a következő jogosultságok érvényesek:
Privilege Leírás SeBackupPrivilege
Biztonsági másolatot készít a fájlokról és könyvtárakról, felülírva az ACL-eket. SeRestorePrivilege
Fájlok és könyvtárak visszaállítása, felülírva az ACL-eket.
Állítsa be az érvényes felhasználó vagy csoport biztonsági azonosítóját fájltulajdonosként.SeChangeNotifyPrivilege
Bejárás ellenőrzésének mellőzése.
Az ilyen jogosultsággal rendelkező felhasználóknak nem kell bejárási (x
) engedélyekkel rendelkezniük a mappák vagy szimlinkek áthaladásához.Biztonsági jogosultsággal rendelkező felhasználók
Ez a beállítás biztonsági jogosultságot (SeSecurityPrivilege
) biztosít azOknak az AD DS-tartományfelhasználóknak vagy csoportoknak, amelyek emelt szintű jogosultságot igényelnek az Azure NetApp Files-kötetek eléréséhez. A megadott AD DS-felhasználók vagy -csoportok olyan SMB-megosztásokon hajthatnak végre bizonyos műveleteket, amelyekhez alapértelmezés szerint nem tartományi felhasználókhoz rendelt biztonsági jogosultság szükséges.A Biztonsági jogosultság felhasználói beállítás használatakor a következő jogosultság érvényes:
Privilege Leírás SeSecurityPrivilege
Naplóműveletek kezelése. Ez a funkció az SQL Server olyan esetekben történő telepítéséhez használható, amikor egy nem rendszergazdai AD DS-tartományi fióknak ideiglenesen emelt szintű biztonsági jogosultságot kell biztosítani.
Megjegyzés:
A Biztonsági jogosultság felhasználói funkció használata az SMB folyamatos rendelkezésre állási megosztások funkciójára támaszkodik. Az SMB folyamatos rendelkezésre állása egyéni alkalmazásokban nem támogatott. Ez csak a Citrix App Laying, az FSLogix felhasználóiprofil-tárolók és a Microsoft SQL Server (nem Linux SQL Server) használatával támogatott számítási feladatok esetében.
Fontos
A Biztonsági jogosultság felhasználói funkció használatához várólista-kérelmet kell küldenie az Azure NetApp Files SMB folyamatos rendelkezésre állási megosztások nyilvános előzetes verziójának beküldési oldalán keresztül. A funkció használata előtt várjon egy hivatalos visszaigazoló e-mailt az Azure NetApp Files csapatától.
Ez a funkció nem kötelező, és csak SQL Server esetén támogatott. Az SQL Server telepítéséhez használt AD DS-tartományfióknak már léteznie kell, mielőtt hozzáadná a Biztonsági jogosultság felhasználói beállításhoz. Amikor hozzáadja az SQL Server telepítőfiókot a Biztonsági jogosultsági felhasználók beállításhoz, az Azure NetApp Files szolgáltatás egy AD DS-tartományvezérlővel kapcsolatba lépve érvényesítheti a fiókot. Ez a művelet meghiúsulhat, ha az Azure NetApp Files nem tud kapcsolatba lépni az AD DS tartományvezérlővel.További információ az SQL Serverről és az SQL Serverről
SeSecurityPrivilege
: Az SQL Server telepítése meghiúsul, ha a telepítőfiók nem rendelkezik bizonyos felhasználói jogosultságokkal.Rendszergazda istrators privilege users
Ez a beállítás további biztonsági jogosultságokat biztosít az AD DS-tartomány azon felhasználóinak vagy csoportjainak, amelyek emelt szintű jogosultságot igényelnek az Azure NetApp Files-kötetek eléréséhez. A megadott fiókok fájl- vagy mappaszinten emelt szintű engedélyekkel rendelkeznek.
Megjegyzés:
A tartományi rendszergazdák automatikusan hozzáadódnak a Rendszergazda istrators jogosultsági felhasználói csoporthoz.
A Rendszergazda istrators jogosultságfelhasználói beállítás használatakor a következő jogosultságok érvényesek:
Privilege Leírás SeBackupPrivilege
Biztonsági másolatot készít a fájlokról és könyvtárakról, felülírva az ACL-eket. SeRestorePrivilege
Fájlok és könyvtárak visszaállítása, felülírva az ACL-eket.
Állítsa be az érvényes felhasználó vagy csoport biztonsági azonosítóját fájltulajdonosként.SeChangeNotifyPrivilege
Bejárás ellenőrzésének mellőzése.
Az ilyen jogosultsággal rendelkező felhasználóknak nincs szükség a mappák vagy szimlinkek átjárási (x
) engedélyére.SeTakeOwnershipPrivilege
A fájlok vagy egyéb objektumok tulajdonjogának átvétele. SeSecurityPrivilege
Naplóműveletek kezelése. SeChangeNotifyPrivilege
Bejárás ellenőrzésének mellőzése.
Az ilyen jogosultsággal rendelkező felhasználóknak nincs szükség a mappák vagy szimlinkek átjárási (x
) engedélyére.Hitelesítő adatok, beleértve a felhasználónevet és a jelszót
Fontos
Bár az Active Directory 256 karakteres jelszavakat támogat, az Azure NetApp Fileshoz használható Active Directory-jelszavak száma nem haladhatja meg a 64 karaktert.
Válassza a Csatlakozás lehetőséget.
Megjelenik a létrehozott Active Directory-kapcsolat.
Több, ugyanabban az előfizetésben és régióban lévő NetApp-fiók leképezése AD-kapcsolatra
A Megosztott AD funkció lehetővé teszi, hogy az összes NetApp-fiók megossza az ugyanazon előfizetéshez és régióhoz tartozó NetApp-fiókok egyikével létrehozott Active Directory-(AD-) kapcsolatot. A funkció használatával például az ugyanabban az előfizetésben és régióban lévő összes NetApp-fiók használhatja a közös AD-konfigurációt SMB-kötet, NFSv4.1 Kerberos-kötet vagy kettős protokollú kötet létrehozásához. A funkció használatakor az AD-kapcsolat minden olyan NetApp-fiókban látható lesz, amely ugyanabban az előfizetésben és régióban található.
This feature is currently in preview. Az első használat előtt regisztrálnia kell a funkciót. A regisztráció után a funkció engedélyezve van, és a háttérben működik. Nincs szükség felhasználói felületi vezérlőre.
A funkció regisztrálása:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
Ellenőrizze a szolgáltatásregisztráció állapotát:
Megjegyzés:
A RegistrationState legfeljebb 60 percig lehet állapotban
Registering
, mielőtt átváltanaRegistered
. A folytatás előtt várjon, amíg az állapot regisztrálva van.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
Használhatja az Azure CLI-parancsokataz feature register
is, és az feature show
regisztrálhatja a funkciót, és megjelenítheti a regisztrációs állapotot.
Active Directory számítógépfiók jelszavának alaphelyzetbe állítása
Ha véletlenül alaphelyzetbe állítja az AD-számítógépfiók jelszavát az AD-kiszolgálón, vagy az AD-kiszolgáló nem érhető el, biztonságosan alaphelyzetbe állíthatja a számítógépfiók jelszavát, hogy megőrizze a kötetekkel való kapcsolatot. Az alaphelyzetbe állítás az SMB-kiszolgálón lévő összes kötetre hatással van.
A funkció regisztrálása
Az Active Directory számítógépfiók új jelszószolgáltatása jelenleg nyilvános előzetes verzióban érhető el. Ha először használja ezt a funkciót, először regisztrálnia kell a funkciót.
- Regisztrálja az Active Directory számítógépfiók új jelszó funkcióját:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
- Ellenőrizze a szolgáltatásregisztráció állapotát. A RegistrationState legfeljebb 60 percig lehet állapotban
Registering
, mielőtt átváltanaRegistered
. Várjon, amíg az állapot folytatódikRegistered
.
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
Használhatja az Azure CLI-parancsokataz feature register
is, és az feature show
regisztrálhatja a funkciót, és megjelenítheti a regisztrációs állapotot.
Lépések
- Lépjen a kötet áttekintési menüjére. Válassza az Active Directory-fiók alaphelyzetbe állítása lehetőséget.
Másik megoldásként keresse meg a Kötetek menüt . Azonosítsa azt a kötetet, amelyhez alaphelyzetbe szeretné állítani az Active Directory-fiókot, és válassza ki a sor végén található három elemet (
...
). Válassza az Active Directory-fiók alaphelyzetbe állítása lehetőséget. - Megjelenik egy figyelmeztető üzenet, amely ismerteti a művelet következményeit. A folytatáshoz írja be az igent a szövegmezőbe.
Következő lépések
- Az Azure NetApp Files Active Directory tartományi szolgáltatások webhelytervezésének és tervezésének irányelvei
- Active Directory-kapcsolatok módosítása
- SMB-kötet létrehozása
- Kettős protokollú kötet létrehozása
- NFSv4.1 Kerberos-titkosítás konfigurálása
- Új Active Directory-erdő telepítése az Azure CLI használatával
- Active Directory tartományi szolgáltatások (AD DS) LDAP-hitelesítés engedélyezése NFS-kötetekhez
- AD DS LDAP kiterjesztett csoportokkal az NFS-kötethozzáféréshez
- SMB-kötetek elérése a Microsoft Entra-hoz csatlakoztatott Windows rendszerű virtuális gépekről