Het wachtwoord van uw opslagaccount-id bijwerken in AD DS
Als u de Active Directory-domein Services-id/-account (AD DS) hebt geregistreerd die uw opslagaccount vertegenwoordigt in een organisatie-eenheid of domein dat de verlooptijd van het wachtwoord afdwingt, moet u het wachtwoord wijzigen vóór de maximale wachtwoordduur. Uw organisatie kan geautomatiseerde opschoonscripts uitvoeren die accounts verwijderen zodra hun wachtwoord is verlopen. Als u daarom uw wachtwoord niet wijzigt voordat het verloopt, kan uw account worden verwijderd, waardoor u geen toegang meer hebt tot uw Azure-bestandsshares.
Om onbedoelde wachtwoordrotatie te voorkomen, moet u tijdens de onboarding van het Azure-opslagaccount in het domein het Azure-opslagaccount in een afzonderlijke organisatie-eenheid in AD DS plaatsen. Schakel overname van groepsbeleid voor deze organisatie-eenheid uit om te voorkomen dat standaarddomeinbeleid of specifiek wachtwoordbeleid wordt toegepast.
Notitie
Een opslagaccount-id in AD DS kan een serviceaccount of een computeraccount zijn. Wachtwoorden voor serviceaccounts kunnen verlopen in Active Directory (AD); Omdat wachtwoordwijzigingen van het computeraccount echter worden aangestuurd door de clientcomputer en niet AD, verlopen ze niet in AD.
Er zijn twee opties voor het activeren van wachtwoordrotatie. U kunt de AzFilesHybrid module of Active Directory PowerShell gebruiken. Gebruik één methode, niet beide.
Van toepassing op
| Bestands sharetype | SMB | NFS |
|---|---|---|
| Standaardbestandsshares (GPv2), LRS/ZRS |  |
 |
| Standaardbestandsshares (GPv2), GRS/GZRS | |
|
| Premium bestandsshares (FileStorage), LRS/ZRS | |
|
Optie 1: AzFilesHybrid-module gebruiken
U kunt de Update-AzStorageAccountADObjectPassword cmdlet uitvoeren vanuit de AzFilesHybrid-module. U moet deze opdracht uitvoeren in een on-premises AD DS-gekoppelde omgeving door een hybride identiteit met eigenaarsmachtigingen voor het opslagaccount en AD DS-machtigingen om het wachtwoord van de identiteit te wijzigen die het opslagaccount vertegenwoordigt. De opdracht voert acties uit die vergelijkbaar zijn met de rotatie van de sleutel van het opslagaccount. Hiermee wordt met name de tweede Kerberos-sleutel van het opslagaccount opgehaald die wordt gebruikt om het wachtwoord van het geregistreerde account in AD DS bij te werken. Vervolgens wordt de Kerberos-doelsleutel van het opslagaccount opnieuw gegenereerd en wordt het wachtwoord van het geregistreerde account in AD DS bijgewerkt.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
Met deze actie wordt het wachtwoord voor het AD-object gewijzigd van kerb1 in kerb2. Dit is bedoeld als proces in twee fasen: draai van kerb1 naar kerb2 (kerb2 wordt opnieuw gegenereerd in het opslagaccount voordat deze wordt ingesteld), wacht enkele uren en draai vervolgens terug naar kerb1 (met deze cmdlet wordt kerb1 eveneens opnieuw gegenereerd).
Optie 2: Active Directory PowerShell gebruiken
Als u de AzFilesHybrid module niet wilt downloaden, kunt u Active Directory PowerShell gebruiken.
Belangrijk
De Windows Server Active Directory PowerShell-cmdlets in deze sectie moeten worden uitgevoerd in Windows PowerShell 5.1 met verhoogde bevoegdheden. PowerShell 7.x en Azure Cloud Shell werken niet in dit scenario.
Vervang <domain-object-identity> in het volgende script door uw waarde en voer vervolgens het script uit om het wachtwoord van uw domeinobject bij te werken:
$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor