Memperbarui kata sandi identitas akun penyimpanan Anda di AD DS
Jika Anda mendaftarkan identitas/akun Active Directory Domain Services (AD DS), yang mewakili akun penyimpanan Anda di unit organisasi atau domain yang memberlakukan waktu kedaluwarsa kata sandi, Anda harus mengubah kata sandi sebelum masa berlaku maksimum kata sandi. Organisasi Anda dapat menjalankan skrip pembersihan otomatis yang menghapus akun setelah kata sandinya kedaluwarsa. Oleh karena itu, jika Anda tidak mengubah kata sandi sebelum kedaluwarsa, akun Anda dapat dihapus, yang akan menyebabkan Anda kehilangan akses ke file yang dibagikan Azure.
Untuk mencegah rotasi kata sandi yang tidak diinginkan, selama onboarding akun penyimpanan Azure di domain, pastikan untuk menempatkan akun penyimpanan Azure ke dalam unit organisasi terpisah di AD DS. Nonaktifkan pewarisan Kebijakan Grup pada unit organisasi ini untuk mencegah kebijakan domain default atau kebijakan kata sandi tertentu diterapkan.
Catatan
Identitas akun penyimpanan di AD DS dapat berupa akun layanan atau akun komputer. Kata sandi akun layanan dapat kedaluwarsa dalam AD; namun, karena perubahan kata sandi akun komputer didorong oleh komputer klien dan bukan AD, perubahan tersebut tidak kedaluwarsa dalam AD.
Ada dua opsi untuk memicu rotasi kata sandi. Anda dapat menggunakan AzFilesHybrid modul atau Active Directory PowerShell. Gunakan satu metode, bukan keduanya.
Berlaku untuk
| Jenis berbagi File | SMB | NFS |
|---|---|---|
| Berbagi file standar (GPv2), LRS/ZRS |  |
 |
| Berbagi file standar (GPv2), GRS/GZRS | |
|
| Berbagi file premium (FileStorage), LRS/ZRS | |
|
Menggunakan modul AzFilesHybrid
Anda dapat menjalankan Update-AzStorageAccountADObjectPassword cmdlet dari modul AzFilesHybrid. Perintah ini harus dijalankan di lingkungan yang bergabung dengan AD DS lokal oleh identitas hibrid dengan izin pemilik ke akun penyimpanan dan izin AD DS untuk mengubah kata sandi identitas yang mewakili akun penyimpanan. Perintah melakukan tindakan yang mirip dengan rotasi kunci akun penyimpanan. Secara khusus, ia mendapatkan kunci Kerberos kedua dari akun penyimpanan dan menggunakannya untuk memperbarui kata sandi akun terdaftar di AD DS. Kemudian meregenerasi kunci Kerberos target dari akun penyimpanan dan memperbarui kata sandi akun terdaftar di AD DS.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
Tindakan ini akan mengubah kata sandi untuk objek AD dari kerb1 kerb2. Ini dimaksudkan untuk menjadi proses dua tahap: putar dari kerb1 kerb2 (kerb2 akan diregenerasi pada akun penyimpanan sebelum ditetapkan), tunggu beberapa jam, dan kemudian putar kembali kerb1 (cmdlet ini juga akan meregenerasi kerb1).
Menggunakan Active Directory PowerShell
Jika Anda tidak ingin mengunduh AzFilesHybrid modul, Anda dapat menggunakan Active Directory PowerShell.
Penting
Cmdlet Windows Server Active Directory PowerShell di bagian ini harus dijalankan di Windows PowerShell 5.1 dengan hak istimewa yang ditingkatkan. PowerShell 7.x dan Azure Cloud Shell tidak akan berfungsi dalam skenario ini.
Ganti dalam skrip berikut dengan nilai Anda, lalu jalankan <domain-object-identity> skrip untuk memperbarui kata sandi objek domain Anda:
$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword