FSLogix-profiltároló beállítása az Azure Files és a Active Directory tartományi szolgáltatások vagy a Microsoft Entra Domain Services használatával
Ez a cikk bemutatja, hogyan állíthatja be az FSLogix-profiltárolót az Azure Files használatával, amikor a munkamenetgazda virtuális gépek (VM-ek) Active Directory tartományi szolgáltatások (AD DS) tartományhoz vagy Felügyelt Microsoft Entra Domain Services-tartományhoz csatlakoznak.
Előfeltételek
A következőkre lesz szüksége:
- Egy gazdagépkészlet, amelyben a munkamenet-gazdagépek egy AD DS-tartományhoz vagy a Microsoft Entra Domain Services által felügyelt tartományhoz csatlakoznak, és a felhasználók hozzá vannak rendelve.
- A tartomány azon biztonsági csoportja, amely a profiltárolót használó felhasználókat tartalmazza. Ha AD DS-t használ, ezt szinkronizálni kell a Microsoft Entra-azonosítóval.
- Azure-előfizetésének engedélye tárfiók létrehozására és szerepkör-hozzárendelések hozzáadására.
- Tartományfiók, amely számítógépek tartományhoz való csatlakoztatásához és emelt szintű PowerShell-parancssor megnyitásához használható.
- Annak az Azure-előfizetésnek az előfizetés-azonosítója, ahol a tárfiókja lesz.
- A tartományhoz csatlakoztatott számítógép powerShell-modulok telepítéséhez és futtatásához, amelyek egy tárfiókhoz csatlakoznak a tartományhoz. Ennek az eszköznek a Windows támogatott verzióját kell futtatnia. Másik lehetőségként használhat munkamenet-gazdagépet is.
Fontos
Ha a felhasználók korábban bejelentkeztek a használni kívánt munkamenet-gazdagépekre, a rendszer helyi profilokat hoz létre számukra, és először egy rendszergazdának kell törölnie, hogy profilja egy profiltárolóban legyen tárolva.
Tárfiók beállítása profiltárolóhoz
Tárfiók beállítása:
Jelentkezzen be az Azure Portalra.
Tárfiókok keresése a keresősávon.
Válassza a +Létrehozás lehetőséget.
Adja meg a következő adatokat a Tárfiók létrehozása lap Alapszintű beállítások lapján:
- Hozzon létre egy új erőforráscsoportot, vagy válasszon ki egy meglévőt a tárfiók tárolásához.
- Adja meg a tárfiók egyedi nevét. A tárfiók nevének 3 és 24 karakter közöttinek kell lennie.
- Régió esetén azt javasoljuk, hogy ugyanazt a helyet válassza, mint az Azure Virtual Desktop gazdagépkészletét.
- A Teljesítmény beállításnál válassza a Standard elemet minimálisan.
- Ha a Prémium teljesítményt választja, állítsa a Prémium fiók típusát Fájlmegosztások értékre.
- Redundancia esetén válassza legalább a helyileg redundáns tárolást (LRS).
- A többi lap alapértelmezett értékeit nem kell módosítani.
Tipp.
Előfordulhat, hogy a szervezetnek meg kell változtatnia ezeket az alapértelmezett beállításokat:
- A Prémium verzió kiválasztása az IOPS-ra és a késésre vonatkozó követelményektől függ. További információkért tekintse meg az FSLogix-profiltárolók tárolási lehetőségeit az Azure Virtual Desktopban.
- A Speciális lapon engedélyezni kell a tárfiókkulcs-hozzáférést.
- A fennmaradó konfigurációs lehetőségekről további információt az Azure Files üzembe helyezésének tervezése című témakörben talál.
Válassza az Áttekintés + létrehozás lehetőséget. Tekintse át a paramétereket és a használni kívánt értékeket, majd válassza a Létrehozás lehetőséget.
A tárfiók létrehozása után válassza az Ugrás az erőforrásra lehetőséget.
Az Adattárolás szakaszban válassza a Fájlmegosztások lehetőséget.
Válassza a + Fájlmegosztás lehetőséget.
Adjon meg egy nevet( például profilokat), majd a réteghez válassza a Tranzakció optimalizálva lehetőséget.
A tárfiók csatlakoztatása az Active Directoryhoz
Ha Active Directory-fiókokat szeretne használni a fájlmegosztás megosztási engedélyéhez, engedélyeznie kell az AD DS-t vagy a Microsoft Entra Domain Servicest forrásként. Ez a folyamat csatlakoztatja a tárfiókot egy tartományhoz, amely számítógépfiókként jelöli azt. Válassza ki az alábbi megfelelő lapot a forgatókönyvhöz, és kövesse a lépéseket.
Jelentkezzen be az AD DS-tartományhoz csatlakoztatott számítógépre. Másik lehetőségként jelentkezzen be az egyik munkamenet-gazdagépre.
Töltse le és bontsa ki az AzFilesHybrid legújabb verzióját az Azure Files-minták GitHub-adattárából. Jegyezze fel azt a mappát, amelybe kibontja a fájlokat.
Nyisson meg egy emelt szintű PowerShell-kérést, és váltson arra a könyvtárra, ahol kibontotta a fájlokat.
Futtassa a következő parancsot a
AzFilesHybrid
modul hozzáadásához a felhasználó PowerShell-moduljainak könyvtárához:.\CopyToPSPath.ps1
Importálja a modult
AzFilesHybrid
a következő parancs futtatásával:Import-Module -Name AzFilesHybrid
Fontos
Ehhez a modulhoz a PowerShell-galéria és az Azure PowerShell szükséges. Előfordulhat, hogy a rendszer kérni fogja a telepítést, ha még nincs telepítve, vagy frissítenie kell őket. Ha ezekre kéri a rendszer, telepítse őket, majd zárja be a PowerShell összes példányát. A folytatás előtt nyisson meg újra egy emelt szintű PowerShell-parancssort, és importálja újra a
AzFilesHybrid
modult.Jelentkezzen be az Azure-ba az alábbi parancs futtatásával. Olyan fiókot kell használnia, amely az alábbi szerepköralapú hozzáférés-vezérlési (RBAC-) szerepkörök egyikével rendelkezik:
- Tárfiók tulajdonosa
- Tulajdonos
- Közreműködő
Connect-AzAccount
Tipp.
Ha az Azure-fiókja több bérlőhöz és/vagy előfizetéshez is hozzáfér, a környezet beállításával ki kell választania a megfelelő előfizetést. További információ: Azure PowerShell-környezetobjektumok
Csatlakoztassa a tárfiókot a tartományhoz az alábbi parancsok futtatásával, és cserélje le az értékeket a ,
$resourceGroupName
és$storageAccountName
az értékekre$subscriptionId
. A paramétert-OrganizationalUnitDistinguishedName
hozzáadhatja egy szervezeti egység (szervezeti egység) megadásához is, amelyben elhelyezheti a számítógépfiókot.$subscriptionId = "subscription-id" $resourceGroupName = "resource-group-name" $storageAccountName = "storage-account-name" Join-AzStorageAccount ` -ResourceGroupName $ResourceGroupName ` -StorageAccountName $StorageAccountName ` -DomainAccountType "ComputerAccount"
Ha ellenőrizni szeretné, hogy a tárfiók csatlakozott-e a tartományhoz, futtassa az alábbi parancsokat, és tekintse át a kimenetet, és cserélje le az értékeket az értékekre
$resourceGroupName
:$storageAccountName
$resourceGroupName = "resource-group-name" $storageAccountName = "storage-account-name" (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
Fontos
Ha a tartomány a jelszó lejáratát kényszeríti ki, frissítenie kell a jelszót, mielőtt lejár, hogy megakadályozza a hitelesítési hibákat az Azure-fájlmegosztások elérésekor. További információ: A tárfiók identitásjelszójának frissítése az AD DS-ben .
RBAC-szerepkör hozzárendelése felhasználókhoz
A fájlmegosztásban profilokat tároló felhasználóknak engedélyre van szükségük a hozzáféréshez. Ehhez minden felhasználóhoz hozzá kell rendelnie a Storage-fájladatok SMB-megosztási közreműködői szerepkörét .
A felhasználók szerepkörének hozzárendelése:
Az Azure Portalon keresse meg a tárfiókot, majd a korábban létrehozott fájlmegosztást.
Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
Válassza a + Hozzáadás lehetőséget, majd a legördülő menüben válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.
Válassza ki a Storage-fájl adatainak SMB-megosztási közreműködője szerepkört, és válassza a Tovább lehetőséget.
A Tagok lapon válassza a Felhasználó, csoport vagy szolgáltatásnév, majd a +Tagok kijelölése lehetőséget. A keresősávon keresse meg és válassza ki a profiltárolót használó felhasználókat tartalmazó biztonsági csoportot.
Válassza az Áttekintés + hozzárendelés lehetőséget a hozzárendelés befejezéséhez.
NTFS-engedélyek beállítása
Ezután meg kell adnia az NTFS-engedélyeket a mappában, ami megköveteli a Storage-fiók hozzáférési kulcsának lekérését.
A Storage-fiók hozzáférési kulcsának lekérése:
Az Azure Portalon keresse meg és válassza ki a tárfiókot a keresősávon.
A tárfiókok listájában válassza ki azt a fiókot, amely Active Directory tartományi szolgáltatások vagy a Microsoft Entra Domain Servicest engedélyezte identitásforrásként, és az előző szakaszokban hozzárendelte az RBAC-szerepkört.
A Biztonság + hálózatkezelés területen válassza az Access-kulcsokat, majd a kulcs megjelenítése és másolása az 1. kulcsból.
A megfelelő NTFS-engedélyek beállítása a mappában:
Jelentkezzen be a gazdagépkészlet részét képező munkamenet-gazdagépre.
Nyisson meg egy emelt szintű PowerShell-parancssort, és futtassa az alábbi parancsot a tárfiók meghajtóként való leképezéséhez a munkamenet-gazdagépen. A megfeleltetett meghajtó nem jelenik meg a Fájlkezelő, de a
net use
paranccsal megtekinthető. Így beállíthatja a megosztásra vonatkozó engedélyeket.net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
- Cserélje le
<desired-drive-letter>
a kívánt meghajtóbetűjelre (példáuly:
). - Cserélje le mindkét példányt
<storage-account-name>
a korábban megadott tárfiók nevére. - Cserélje le
<share-name>
a korábban létrehozott megosztás nevére. - Cserélje le
<storage-account-key>
az Azure-ból származó tárfiókkulcsra.
Példa:
net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
- Cserélje le
Futtassa az alábbi parancsokat a megosztásra vonatkozó engedélyek beállításához, amelyek lehetővé teszik, hogy az Azure Virtual Desktop felhasználói saját profilt hozzanak létre, miközben letiltják a hozzáférést más felhasználók profiljaihoz. Olyan Active Directory biztonsági csoportot kell használnia, amely tartalmazza a profiltárolót használni kívánt felhasználókat. Az alábbi parancsokban cserélje le
<mounted-drive-letter>
a meghajtó leképezéséhez használt meghajtó betűjelét, valamint<DOMAIN\GroupName>
az Active Directory-csoport azon tartományát és sAMAccountName nevét, amely hozzáférést igényel a megosztáshoz. Megadhatja a felhasználó egyszerű nevét (UPN) is.icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)" icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)" icacls <mounted-drive-letter>: /remove "Authenticated Users" icacls <mounted-drive-letter>: /remove "Builtin\Users"
Példa:
icacls y: /grant "CONTOSO\AVDUsers:(M)" icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)" icacls y: /remove "Authenticated Users" icacls y: /remove "Builtin\Users"
Munkamenet-gazdagépek konfigurálása a Profiltároló használatára
A Profiltároló használatához meg kell győződnie arról, hogy az FSLogix Apps telepítve van a munkamenetgazda virtuális gépeken. Az FSLogix Apps előre telepítve van a Windows 10 Enterprise több munkamenetes és Windows 11 Nagyvállalati verzió több munkamenetes operációs rendszerekben, de továbbra is kövesse az alábbi lépéseket, mivel előfordulhat, hogy nem a legújabb verzió van telepítve. Ha egyéni rendszerképet használ, telepítheti az FSLogix-alkalmazásokat a rendszerképbe.
A profiltároló konfigurálásához javasoljuk, hogy a csoportházirend beállításaival állítsa be a beállításkulcsokat és az értékeket nagy léptékben az összes munkamenet-gazdagépen. Ezeket az egyéni rendszerképben is beállíthatja.
Profiltároló konfigurálása a munkamenetgazda virtuális gépeken:
Jelentkezzen be az egyéni rendszerkép létrehozásához használt virtuális gépre vagy egy munkamenet-gazdagép virtuális gépére a gazdagépkészletből.
Ha telepítenie vagy frissítenie kell az FSLogix-alkalmazásokat, töltse le az FSLogix legújabb verzióját, és futtassa
FSLogixAppsSetup.exe
, majd kövesse a telepítővarázsló utasításait. A telepítési folyamatról, beleértve a testreszabásokat és a felügyelet nélküli telepítést, az FSLogix letöltésével és telepítésével kapcsolatos további információkért lásd : FSLogix.Nyisson meg egy emelt szintű PowerShell-parancssort, és futtassa a következő parancsokat, és cserélje le
\\<storage-account-name>.file.core.windows.net\<share-name>
a korábban létrehozott tárfiók UNC elérési útjára. Ezek a parancsok engedélyezik a Profiltárolót, és konfigurálják a megosztás helyét.$regPath = "HKLM:\SOFTWARE\FSLogix\profiles" New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
Indítsa újra az egyéni rendszerkép vagy munkamenetgazda virtuális gép létrehozásához használt virtuális gépet. Ezeket a lépéseket minden fennmaradó munkamenetgazda virtuális gép esetében meg kell ismételnie.
Ezzel befejezte a profiltároló beállítását. Ha profiltárolót telepít az egyéni lemezképbe, be kell fejeznie az egyéni rendszerkép létrehozását. További információkért kövesse az Egyéni rendszerkép létrehozása az Azure-ban című szakasz lépéseit a Végső pillanatkép készítése című szakaszban.
Profillétrehozás ellenőrzése
Miután telepítette és konfigurálta a profiltárolót, tesztelheti az üzembe helyezést egy olyan felhasználói fiókkal való bejelentkezéssel, amely hozzárendelt egy alkalmazáscsoportot vagy asztalt a gazdagépkészlethez.
Ha a felhasználó korábban bejelentkezett, egy meglévő helyi profillal fog rendelkezni, amelyet a munkamenet során fog használni. Először törölje a helyi profilt, vagy hozzon létre egy új felhasználói fiókot a tesztekhez.
A felhasználók az alábbi lépések végrehajtásával ellenőrizhetik, hogy a profiltároló be van-e állítva:
Jelentkezzen be tesztfelhasználóként az Azure Virtual Desktopba.
Amikor a felhasználó bejelentkezik, a "Kérjük, várjon az FSLogix Apps Services szolgáltatásra" üzenetnek a bejelentkezési folyamat részeként kell megjelennie, mielőtt elérnék az asztalt.
A rendszergazdák az alábbi lépések végrehajtásával ellenőrizhetik, hogy a profilmappa létrejött-e:
Nyissa meg az Azure Portalt.
Nyissa meg a korábban létrehozott tárfiókot.
Nyissa meg a tárfiókBan található Adattár lehetőséget , majd válassza a Fájlmegosztások lehetőséget.
Nyissa meg a fájlmegosztást, és győződjön meg arról, hogy a létrehozott felhasználóiprofil-mappa benne van.
Következő lépések
Az FSlogix-profiltárolóval kapcsolatos fogalmakról részletesebb információkat talál az Azure Virtual Desktop felhasználóiprofil-kezelésében FSLogix-profiltárolókkal.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: