Aktualizowanie hasła tożsamości konta magazynu w usługach AD DS

Jeśli zarejestrowano tożsamość/konto usług domena usługi Active Directory Services (AD DS), które reprezentuje konto magazynu w jednostce organizacyjnej lub domenie, która wymusza czas wygaśnięcia hasła, musisz zmienić hasło przed maksymalnym wiekiem hasła. Organizacja może uruchamiać zautomatyzowane skrypty oczyszczania, które usuwają konta po wygaśnięciu hasła. W związku z tym, jeśli nie zmienisz hasła przed jego wygaśnięciem, twoje konto może zostać usunięte, co spowoduje utratę dostępu do udziałów plików platformy Azure.

Aby zapobiec niezamierzonej rotacji haseł, podczas dołączania konta usługi Azure Storage w domenie upewnij się, że konto usługi Azure Storage zostanie umieszczone w oddzielnej jednostce organizacyjnej w usługach AD DS. Wyłącz dziedziczenie zasad grupy w tej jednostce organizacyjnej, aby uniemożliwić stosowanie domyślnych zasad domeny lub określonych zasad haseł.

Uwaga

Tożsamość konta magazynu w usługach AD DS może być kontem usługi lub kontem komputera. Hasła konta usługi mogą wygasać w usłudze Active Directory (AD); jednak ze względu na to, że zmiany hasła konta komputera są sterowane przez komputer kliencki, a nie przez usługę AD, nie wygasają w usłudze AD.

Istnieją dwie opcje wyzwalania obracania haseł. Możesz użyć modułu AzFilesHybrid lub programu PowerShell usługi Active Directory. Użyj jednej metody, a nie obu.

Dotyczy

Typ udziału plików	SMB	NFS
Udziały plików w warstwie Standardowa (GPv2), LRS/ZRS
Udziały plików w warstwie Standardowa (GPv2), GRS/GZRS
Udziały plików w warstwie Premium (FileStorage), LRS/ZRS

Opcja 1. Używanie modułu AzFilesHybrid

Możesz uruchomić Update-AzStorageAccountADObjectPassword polecenie cmdlet z modułu AzFilesHybrid. To polecenie należy uruchomić w lokalnym środowisku przyłączonych do usług AD DS przez tożsamość hybrydową z uprawnieniami właściciela do konta magazynu i usług AD DS, aby zmienić hasło tożsamości reprezentującej konto magazynu. Polecenie wykonuje akcje podobne do obracania klucza konta magazynu. Konkretnie pobiera drugi klucz protokołu Kerberos konta magazynu i używa go do aktualizowania hasła zarejestrowanego konta w usługach AD DS. Następnie ponownie generuje docelowy klucz protokołu Kerberos konta magazynu i aktualizuje hasło zarejestrowanego konta w usługach AD DS.

# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
        -RotateToKerbKey kerb2 `
        -ResourceGroupName "<your-resource-group-name-here>" `
        -StorageAccountName "<your-storage-account-name-here>"

Ta akcja spowoduje zmianę hasła obiektu usługi AD z kerb1 na kerb2. Jest to proces dwuetapowy: obróć klucz z kerb1 do kerb2 (klucz kerb2 zostanie ponownie wygenerowany na koncie magazynu przed ustawieniem go), zaczekaj kilka godzin, a następnie obróć z powrotem do klucza kerb1 (to polecenie cmdlet również ponownie wygeneruje klucz kerb1).

Opcja 2. Używanie programu PowerShell usługi Active Directory

Jeśli nie chcesz pobrać modułu AzFilesHybrid , możesz użyć programu PowerShell usługi Active Directory.

Ważne

Polecenia cmdlet programu PowerShell systemu Windows Server Active Directory w tej sekcji muszą być uruchamiane w programie Windows PowerShell 5.1 z podwyższonym poziomem uprawnień. Program PowerShell 7.x i usługa Azure Cloud Shell nie będą działać w tym scenariuszu.

Zastąp <domain-object-identity> ciąg w poniższym skrypcie wartością, a następnie uruchom skrypt, aby zaktualizować hasło obiektu domeny:

$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force

Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword