Megosztás a következőn keresztül:


FSLogix-profiltároló beállítása az Azure Files és a Active Directory tartományi szolgáltatások vagy a Microsoft Entra Domain Services használatával

Ez a cikk bemutatja, hogyan állíthatja be az FSLogix-profiltárolót az Azure Files használatával, amikor a munkamenetgazda virtuális gépek (VM-ek) Active Directory tartományi szolgáltatások (AD DS) tartományhoz vagy Felügyelt Microsoft Entra Domain Services-tartományhoz csatlakoznak.

Előfeltételek

A következőkre lesz szüksége:

  • Egy gazdagépkészlet, amelyben a munkamenet-gazdagépek egy AD DS-tartományhoz vagy a Microsoft Entra Domain Services által felügyelt tartományhoz csatlakoznak, és a felhasználók hozzá vannak rendelve.
  • A tartomány azon biztonsági csoportja, amely a profiltárolót használó felhasználókat tartalmazza. Ha AD DS-t használ, ezt szinkronizálni kell a Microsoft Entra-azonosítóval.
  • Azure-előfizetésének engedélye tárfiók létrehozására és szerepkör-hozzárendelések hozzáadására.
  • Tartományfiók, amely számítógépek tartományhoz való csatlakoztatásához és emelt szintű PowerShell-parancssor megnyitásához használható.
  • Annak az Azure-előfizetésnek az előfizetés-azonosítója, ahol a tárfiókja lesz.
  • A tartományhoz csatlakoztatott számítógép powerShell-modulok telepítéséhez és futtatásához, amelyek egy tárfiókhoz csatlakoznak a tartományhoz. Ennek az eszköznek a Windows támogatott verzióját kell futtatnia. Másik lehetőségként használhat munkamenet-gazdagépet is.

Fontos

Ha a felhasználók korábban bejelentkeztek a használni kívánt munkamenet-gazdagépekre, a rendszer helyi profilokat hoz létre számukra, és először egy rendszergazdának kell törölnie, hogy profilja egy profiltárolóban legyen tárolva.

Tárfiók beállítása profiltárolóhoz

Tárfiók beállítása:

  1. Jelentkezzen be az Azure Portalra.

  2. Tárfiókok keresése a keresősávon.

  3. Válassza a +Létrehozás lehetőséget.

  4. Adja meg a következő adatokat a Tárfiók létrehozása lap Alapszintű beállítások lapján:

    • Hozzon létre egy új erőforráscsoportot, vagy válasszon ki egy meglévőt a tárfiók tárolásához.
    • Adja meg a tárfiók egyedi nevét. A tárfiók nevének 3 és 24 karakter közöttinek kell lennie.
    • Régió esetén azt javasoljuk, hogy ugyanazt a helyet válassza, mint az Azure Virtual Desktop gazdagépkészletét.
    • A Teljesítmény beállításnál válassza a Standard elemet minimálisan.
    • Ha a Prémium teljesítményt választja, állítsa a Prémium fiók típusát Fájlmegosztások értékre.
    • Redundancia esetén válassza legalább a helyileg redundáns tárolást (LRS).
    • A többi lap alapértelmezett értékeit nem kell módosítani.

    Tipp.

    Előfordulhat, hogy a szervezetnek meg kell változtatnia ezeket az alapértelmezett beállításokat:

  5. Válassza az Áttekintés + létrehozás lehetőséget. Tekintse át a paramétereket és a használni kívánt értékeket, majd válassza a Létrehozás lehetőséget.

  6. A tárfiók létrehozása után válassza az Ugrás az erőforrásra lehetőséget.

  7. Az Adattárolás szakaszban válassza a Fájlmegosztások lehetőséget.

  8. Válassza a + Fájlmegosztás lehetőséget.

  9. Adjon meg egy nevet( például profilokat), majd a réteghez válassza a Tranzakció optimalizálva lehetőséget.

A tárfiók csatlakoztatása az Active Directoryhoz

Ha Active Directory-fiókokat szeretne használni a fájlmegosztás megosztási engedélyéhez, engedélyeznie kell az AD DS-t vagy a Microsoft Entra Domain Servicest forrásként. Ez a folyamat csatlakoztatja a tárfiókot egy tartományhoz, amely számítógépfiókként jelöli azt. Válassza ki az alábbi megfelelő lapot a forgatókönyvhöz, és kövesse a lépéseket.

  1. Jelentkezzen be az AD DS-tartományhoz csatlakoztatott számítógépre. Másik lehetőségként jelentkezzen be az egyik munkamenet-gazdagépre.

  2. Töltse le és bontsa ki az AzFilesHybrid legújabb verzióját az Azure Files-minták GitHub-adattárából. Jegyezze fel azt a mappát, amelybe kibontja a fájlokat.

  3. Nyisson meg egy emelt szintű PowerShell-kérést, és váltson arra a könyvtárra, ahol kibontotta a fájlokat.

  4. Futtassa a következő parancsot a AzFilesHybrid modul hozzáadásához a felhasználó PowerShell-moduljainak könyvtárához:

    .\CopyToPSPath.ps1
    
  5. Importálja a modult AzFilesHybrid a következő parancs futtatásával:

    Import-Module -Name AzFilesHybrid
    

    Fontos

    Ehhez a modulhoz a PowerShell-galéria és az Azure PowerShell szükséges. Előfordulhat, hogy a rendszer kérni fogja a telepítést, ha még nincs telepítve, vagy frissítenie kell őket. Ha ezekre kéri a rendszer, telepítse őket, majd zárja be a PowerShell összes példányát. A folytatás előtt nyisson meg újra egy emelt szintű PowerShell-parancssort, és importálja újra a AzFilesHybrid modult.

  6. Jelentkezzen be az Azure-ba az alábbi parancs futtatásával. Olyan fiókot kell használnia, amely az alábbi szerepköralapú hozzáférés-vezérlési (RBAC-) szerepkörök egyikével rendelkezik:

    • Tárfiók tulajdonosa
    • Tulajdonos
    • Közreműködő
    Connect-AzAccount
    

    Tipp.

    Ha az Azure-fiókja több bérlőhöz és/vagy előfizetéshez is hozzáfér, a környezet beállításával ki kell választania a megfelelő előfizetést. További információ: Azure PowerShell-környezetobjektumok

  7. Csatlakoztassa a tárfiókot a tartományhoz az alábbi parancsok futtatásával, és cserélje le az értékeket a , $resourceGroupNameés $storageAccountName az értékekre$subscriptionId. A paramétert -OrganizationalUnitDistinguishedName hozzáadhatja egy szervezeti egység (szervezeti egység) megadásához is, amelyben elhelyezheti a számítógépfiókot.

    $subscriptionId = "subscription-id"
    $resourceGroupName = "resource-group-name"
    $storageAccountName = "storage-account-name"
    
    Join-AzStorageAccount `
        -ResourceGroupName $ResourceGroupName `
        -StorageAccountName $StorageAccountName `
        -DomainAccountType "ComputerAccount"
    
  8. Ha ellenőrizni szeretné, hogy a tárfiók csatlakozott-e a tartományhoz, futtassa az alábbi parancsokat, és tekintse át a kimenetet, és cserélje le az értékeket az értékekre$resourceGroupName:$storageAccountName

    $resourceGroupName = "resource-group-name"
    $storageAccountName = "storage-account-name"
    
    (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
    

Fontos

Ha a tartomány a jelszó lejáratát kényszeríti ki, frissítenie kell a jelszót, mielőtt lejár, hogy megakadályozza a hitelesítési hibákat az Azure-fájlmegosztások elérésekor. További információ: A tárfiók identitásjelszójának frissítése az AD DS-ben .

RBAC-szerepkör hozzárendelése felhasználókhoz

A fájlmegosztásban profilokat tároló felhasználóknak engedélyre van szükségük a hozzáféréshez. Ehhez minden felhasználóhoz hozzá kell rendelnie a Storage-fájladatok SMB-megosztási közreműködői szerepkörét .

A felhasználók szerepkörének hozzárendelése:

  1. Az Azure Portalon keresse meg a tárfiókot, majd a korábban létrehozott fájlmegosztást.

  2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  3. Válassza a + Hozzáadás lehetőséget, majd a legördülő menüben válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

  4. Válassza ki a Storage-fájl adatainak SMB-megosztási közreműködője szerepkört, és válassza a Tovább lehetőséget.

  5. A Tagok lapon válassza a Felhasználó, csoport vagy szolgáltatásnév, majd a +Tagok kijelölése lehetőséget. A keresősávon keresse meg és válassza ki a profiltárolót használó felhasználókat tartalmazó biztonsági csoportot.

  6. Válassza az Áttekintés + hozzárendelés lehetőséget a hozzárendelés befejezéséhez.

NTFS-engedélyek beállítása

Ezután meg kell adnia az NTFS-engedélyeket a mappában, ami megköveteli a Storage-fiók hozzáférési kulcsának lekérését.

A Storage-fiók hozzáférési kulcsának lekérése:

  1. Az Azure Portalon keresse meg és válassza ki a tárfiókot a keresősávon.

  2. A tárfiókok listájában válassza ki azt a fiókot, amely Active Directory tartományi szolgáltatások vagy a Microsoft Entra Domain Servicest engedélyezte identitásforrásként, és az előző szakaszokban hozzárendelte az RBAC-szerepkört.

  3. A Biztonság + hálózatkezelés területen válassza az Access-kulcsokat, majd a kulcs megjelenítése és másolása az 1. kulcsból.

A megfelelő NTFS-engedélyek beállítása a mappában:

  1. Jelentkezzen be a gazdagépkészlet részét képező munkamenet-gazdagépre.

  2. Nyisson meg egy emelt szintű PowerShell-parancssort, és futtassa az alábbi parancsot a tárfiók meghajtóként való leképezéséhez a munkamenet-gazdagépen. A megfeleltetett meghajtó nem jelenik meg a Fájlkezelő, de a net use paranccsal megtekinthető. Így beállíthatja a megosztásra vonatkozó engedélyeket.

    net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
    
    • Cserélje le <desired-drive-letter> a kívánt meghajtóbetűjelre (például y:).
    • Cserélje le mindkét példányt <storage-account-name> a korábban megadott tárfiók nevére.
    • Cserélje le <share-name> a korábban létrehozott megosztás nevére.
    • Cserélje le <storage-account-key> az Azure-ból származó tárfiókkulcsra.

    Példa:

    net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
    
  3. Futtassa az alábbi parancsokat a megosztásra vonatkozó engedélyek beállításához, amelyek lehetővé teszik, hogy az Azure Virtual Desktop felhasználói saját profilt hozzanak létre, miközben letiltják a hozzáférést más felhasználók profiljaihoz. Olyan Active Directory biztonsági csoportot kell használnia, amely tartalmazza a profiltárolót használni kívánt felhasználókat. Az alábbi parancsokban cserélje le <mounted-drive-letter> a meghajtó leképezéséhez használt meghajtó betűjelét, valamint <DOMAIN\GroupName> az Active Directory-csoport azon tartományát és sAMAccountName nevét, amely hozzáférést igényel a megosztáshoz. Megadhatja a felhasználó egyszerű nevét (UPN) is.

    icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
    icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
    icacls <mounted-drive-letter>: /remove "Authenticated Users"
    icacls <mounted-drive-letter>: /remove "Builtin\Users"
    

    Példa:

    icacls y: /grant "CONTOSO\AVDUsers:(M)"
    icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
    icacls y: /remove "Authenticated Users"
    icacls y: /remove "Builtin\Users"
    

Munkamenet-gazdagépek konfigurálása a Profiltároló használatára

A Profiltároló használatához meg kell győződnie arról, hogy az FSLogix Apps telepítve van a munkamenetgazda virtuális gépeken. Az FSLogix Apps előre telepítve van a Windows 10 Enterprise több munkamenetes és Windows 11 Nagyvállalati verzió több munkamenetes operációs rendszerekben, de továbbra is kövesse az alábbi lépéseket, mivel előfordulhat, hogy nem a legújabb verzió van telepítve. Ha egyéni rendszerképet használ, telepítheti az FSLogix-alkalmazásokat a rendszerképbe.

A profiltároló konfigurálásához javasoljuk, hogy a csoportházirend beállításaival állítsa be a beállításkulcsokat és az értékeket nagy léptékben az összes munkamenet-gazdagépen. Ezeket az egyéni rendszerképben is beállíthatja.

Profiltároló konfigurálása a munkamenetgazda virtuális gépeken:

  1. Jelentkezzen be az egyéni rendszerkép létrehozásához használt virtuális gépre vagy egy munkamenet-gazdagép virtuális gépére a gazdagépkészletből.

  2. Ha telepítenie vagy frissítenie kell az FSLogix-alkalmazásokat, töltse le az FSLogix legújabb verzióját, és futtassaFSLogixAppsSetup.exe, majd kövesse a telepítővarázsló utasításait. A telepítési folyamatról, beleértve a testreszabásokat és a felügyelet nélküli telepítést, az FSLogix letöltésével és telepítésével kapcsolatos további információkért lásd : FSLogix.

  3. Nyisson meg egy emelt szintű PowerShell-parancssort, és futtassa a következő parancsokat, és cserélje le \\<storage-account-name>.file.core.windows.net\<share-name> a korábban létrehozott tárfiók UNC elérési útjára. Ezek a parancsok engedélyezik a Profiltárolót, és konfigurálják a megosztás helyét.

    $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
    New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
    New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
    
  4. Indítsa újra az egyéni rendszerkép vagy munkamenetgazda virtuális gép létrehozásához használt virtuális gépet. Ezeket a lépéseket minden fennmaradó munkamenetgazda virtuális gép esetében meg kell ismételnie.

Ezzel befejezte a profiltároló beállítását. Ha profiltárolót telepít az egyéni lemezképbe, be kell fejeznie az egyéni rendszerkép létrehozását. További információkért kövesse az Egyéni rendszerkép létrehozása az Azure-ban című szakasz lépéseit a Végső pillanatkép készítése című szakaszban.

Profillétrehozás ellenőrzése

Miután telepítette és konfigurálta a profiltárolót, tesztelheti az üzembe helyezést egy olyan felhasználói fiókkal való bejelentkezéssel, amely hozzárendelt egy alkalmazáscsoportot vagy asztalt a gazdagépkészlethez.

Ha a felhasználó korábban bejelentkezett, egy meglévő helyi profillal fog rendelkezni, amelyet a munkamenet során fog használni. Először törölje a helyi profilt, vagy hozzon létre egy új felhasználói fiókot a tesztekhez.

A felhasználók az alábbi lépések végrehajtásával ellenőrizhetik, hogy a profiltároló be van-e állítva:

  1. Jelentkezzen be tesztfelhasználóként az Azure Virtual Desktopba.

  2. Amikor a felhasználó bejelentkezik, a "Kérjük, várjon az FSLogix Apps Services szolgáltatásra" üzenetnek a bejelentkezési folyamat részeként kell megjelennie, mielőtt elérnék az asztalt.

A rendszergazdák az alábbi lépések végrehajtásával ellenőrizhetik, hogy a profilmappa létrejött-e:

  1. Nyissa meg az Azure Portalt.

  2. Nyissa meg a korábban létrehozott tárfiókot.

  3. Nyissa meg a tárfiókBan található Adattár lehetőséget , majd válassza a Fájlmegosztások lehetőséget.

  4. Nyissa meg a fájlmegosztást, és győződjön meg arról, hogy a létrehozott felhasználóiprofil-mappa benne van.

Következő lépések

Az FSlogix-profiltárolóval kapcsolatos fogalmakról részletesebb információkat talál az Azure Virtual Desktop felhasználóiprofil-kezelésében FSLogix-profiltárolókkal.