Konfigurowanie kontenera profilów FSLogix za pomocą usług Azure Files i usług domena usługi Active Directory lub Microsoft Entra Domain Services
W tym artykule przedstawiono sposób konfigurowania kontenera profilów FSLogix za pomocą usługi Azure Files, gdy maszyny wirtualne hosta sesji są przyłączone do domeny usług domena usługi Active Directory (AD DS) lub domeny zarządzanej usług Microsoft Entra Domain Services.
Wymagania wstępne
Potrzebne będą następujące elementy:
- Pula hostów, w której hosty sesji są przyłączone do domeny usług AD DS lub domeny zarządzanej usług Microsoft Entra Domain Services i są przypisywani użytkownicy.
- Grupa zabezpieczeń w domenie zawierająca użytkowników, którzy będą używać kontenera profilu. Jeśli używasz usług AD DS, należy zsynchronizować go z identyfikatorem Entra firmy Microsoft.
- Uprawnienie do subskrypcji platformy Azure w celu utworzenia konta magazynu i dodania przypisań ról.
- Konto domeny do przyłączania komputerów do domeny i otwieranie monitu programu PowerShell z podwyższonym poziomem uprawnień.
- Identyfikator subskrypcji platformy Azure, w której będzie używane konto magazynu.
- Komputer przyłączony do domeny na potrzeby instalowania i uruchamiania modułów programu PowerShell, które dołączą konto magazynu do domeny. Na tym urządzeniu musi być uruchomiona obsługiwana wersja systemu Windows. Alternatywnie możesz użyć hosta sesji.
Ważne
Jeśli użytkownicy wcześniej zalogowali się do hostów sesji, których chcesz użyć, profile lokalne zostały dla nich utworzone i muszą zostać usunięte najpierw przez administratora, aby ich profil był przechowywany w kontenerze profilu.
Konfigurowanie konta magazynu dla kontenera profilu
Aby skonfigurować konto magazynu:
Zaloguj się w witrynie Azure Portal.
Wyszukaj pozycję Konta magazynu na pasku wyszukiwania.
Wybierz + Utwórz.
Wprowadź następujące informacje na karcie Podstawy na stronie Tworzenie konta magazynu:
- Utwórz nową grupę zasobów lub wybierz istniejącą, w której chcesz przechowywać konto magazynu.
- Wprowadź unikatową nazwę konta magazynu. Ta nazwa konta magazynu musi zawierać od 3 do 24 znaków.
- W polu Region zalecamy wybranie tej samej lokalizacji co pula hostów usługi Azure Virtual Desktop.
- W obszarze Wydajność wybierz pozycję Standardowa jako minimum.
- W przypadku wybrania opcji Wydajność Premium ustaw typ konta Premium na Udziały plików.
- W obszarze Nadmiarowość wybierz pozycję Magazyn lokalnie nadmiarowy (LRS) jako minimum.
- Wartości domyślne pozostałych kart nie muszą być zmieniane.
Napiwek
Organizacja może mieć wymagania dotyczące zmiany tych wartości domyślnych:
- Niezależnie od tego, czy należy wybrać warstwę Premium , zależy od wymagań dotyczących liczby operacji we/wy na sekundę i opóźnień. Aby uzyskać więcej informacji, zobacz Opcje magazynu dla kontenerów profilów FSLogix w usłudze Azure Virtual Desktop.
- Na karcie Zaawansowane należy pozostawić włączony włącz dostęp do klucza konta magazynu.
- Aby uzyskać więcej informacji na temat pozostałych opcji konfiguracji, zobacz Planowanie wdrożenia usługi Azure Files.
Wybierz pozycję Przejrzyj i utwórz. Przejrzyj parametry i wartości, które będą używane, a następnie wybierz pozycję Utwórz.
Po utworzeniu konta magazynu wybierz pozycję Przejdź do zasobu.
W sekcji Magazyn danych wybierz pozycję Udziały plików.
Wybierz pozycję + Udział plików.
Wprowadź nazwę, taką jak profile, a następnie dla warstwy wybierz pozycję Optymalizacja transakcji.
Dołączanie konta magazynu do usługi Active Directory
Aby używać kont usługi Active Directory dla uprawnień udziału plików, należy włączyć usługi AD DS lub Microsoft Entra Domain Services jako źródło. Ten proces łączy konto magazynu z domeną reprezentującą ją jako konto komputera. Wybierz odpowiednią kartę poniżej dla swojego scenariusza i wykonaj kroki.
Zaloguj się do komputera przyłączonego do domeny usług AD DS. Alternatywnie zaloguj się do jednego z hostów sesji.
Pobierz i wyodrębnij najnowszą wersję narzędzia AzFilesHybrid z repozytorium GitHub przykładów usługi Azure Files. Zanotuj folder, do którego wyodrębnisz pliki.
Otwórz monit programu PowerShell z podwyższonym poziomem uprawnień i przejdź do katalogu, w którym wyodrębniono pliki.
Uruchom następujące polecenie, aby dodać
AzFilesHybrid
moduł do katalogu modułów programu PowerShell użytkownika:.\CopyToPSPath.ps1
Zaimportuj
AzFilesHybrid
moduł, uruchamiając następujące polecenie:Import-Module -Name AzFilesHybrid
Ważne
Ten moduł wymaga Galeria programu PowerShell i programu Azure PowerShell. Może pojawić się monit o zainstalowanie tych plików, jeśli nie zostały jeszcze zainstalowane lub wymagają aktualizacji. Jeśli zostanie wyświetlony monit o ich zainstalowanie, zamknij wszystkie wystąpienia programu PowerShell. Otwórz ponownie wiersz programu PowerShell z podwyższonym poziomem uprawnień i ponownie zaimportuj
AzFilesHybrid
moduł przed kontynuowaniem.Zaloguj się na platformie Azure, uruchamiając poniższe polecenie. Musisz użyć konta, które ma jedną z następujących ról kontroli dostępu opartej na rolach (RBAC):
- Właściciel konta magazynu
- Właściciel
- Współautor
Connect-AzAccount
Napiwek
Jeśli twoje konto platformy Azure ma dostęp do wielu dzierżaw i/lub subskrypcji, musisz wybrać poprawną subskrypcję, ustawiając kontekst. Aby uzyskać więcej informacji, zobacz Obiekty kontekstowe programu Azure PowerShell
Dołącz konto magazynu do domeny, uruchamiając poniższe polecenia, zastępując wartości
$subscriptionId
,$resourceGroupName
i$storageAccountName
wartościami. Można również dodać parametr-OrganizationalUnitDistinguishedName
w celu określenia jednostki organizacyjnej, w której ma zostać utworzone konto komputera.$subscriptionId = "subscription-id" $resourceGroupName = "resource-group-name" $storageAccountName = "storage-account-name" Join-AzStorageAccount ` -ResourceGroupName $ResourceGroupName ` -StorageAccountName $StorageAccountName ` -DomainAccountType "ComputerAccount"
Aby sprawdzić, czy konto magazynu dołączyło do domeny, uruchom poniższe polecenia i przejrzyj dane wyjściowe, zastępując wartości i
$resourceGroupName
$storageAccountName
wartościami:$resourceGroupName = "resource-group-name" $storageAccountName = "storage-account-name" (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
Ważne
Jeśli domena wymusza wygaśnięcie hasła, musisz zaktualizować hasło przed wygaśnięciem, aby zapobiec niepowodzeniu uwierzytelniania podczas uzyskiwania dostępu do udziałów plików platformy Azure. Aby uzyskać więcej informacji, zobacz Aktualizowanie hasła tożsamości konta magazynu w usługach AD DS , aby uzyskać szczegółowe informacje.
Przypisywanie roli RBAC do użytkowników
Użytkownicy, którzy muszą przechowywać profile w udziale plików, będą potrzebować uprawnień dostępu do niego. W tym celu należy przypisać każdemu użytkownikowi rolę Współautor udziału SMB danych plików magazynu.
Aby przypisać użytkownikom rolę:
W witrynie Azure Portal przejdź do konta magazynu, a następnie do utworzonego wcześniej udziału plików.
Wybierz pozycję Kontrola dostępu (IAM) .
Wybierz pozycję + Dodaj, a następnie z menu rozwijanego wybierz pozycję Dodaj przypisanie roli.
Wybierz rolę Współautor udziału SMB danych pliku magazynu, a następnie wybierz pozycję Dalej.
Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi, a następnie wybierz pozycję +Wybierz członków. Na pasku wyszukiwania wyszukaj i wybierz grupę zabezpieczeń zawierającą użytkowników, którzy będą używać kontenera profilu.
Wybierz pozycję Przejrzyj i przypisz, aby ukończyć przypisywanie.
Ustawianie uprawnień systemu plików NTFS
Następnie należy ustawić uprawnienia systemu plików NTFS w folderze, który wymaga uzyskania klucza dostępu dla konta magazynu.
Aby uzyskać klucz dostępu do konta magazynu:
W witrynie Azure Portal wyszukaj i wybierz konto magazynu na pasku wyszukiwania.
Z listy kont magazynu wybierz konto włączone domena usługi Active Directory Services lub Microsoft Entra Domain Services jako źródło tożsamości i przypisano rolę RBAC dla w poprzednich sekcjach.
W obszarze Zabezpieczenia i sieć wybierz pozycję Klucze dostępu, a następnie pokaż i skopiuj klucz z klucza key1.
Aby ustawić prawidłowe uprawnienia systemu plików NTFS w folderze:
Zaloguj się do hosta sesji, który jest częścią puli hostów.
Otwórz wiersz programu PowerShell z podwyższonym poziomem uprawnień i uruchom poniższe polecenie, aby zamapować konto magazynu jako dysk na hoście sesji. Zamapowany dysk nie będzie wyświetlany w Eksplorator plików, ale można go wyświetlić za
net use
pomocą polecenia . Dzięki temu możesz ustawić uprawnienia do udziału.net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
- Zastąp
<desired-drive-letter>
wybraną literą dysku (na przykłady:
). - Zastąp oba wystąpienia
<storage-account-name>
określonym wcześniej nazwą konta magazynu. - Zastąp
<share-name>
ciąg nazwą utworzonego wcześniej udziału. - Zastąp ciąg
<storage-account-key>
kluczem konta magazynu z platformy Azure.
Na przykład:
net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
- Zastąp
Uruchom następujące polecenia, aby ustawić uprawnienia do udziału, które umożliwiają użytkownikom usługi Azure Virtual Desktop tworzenie własnego profilu przy jednoczesnym blokowaniu dostępu do profilów innych użytkowników. Należy użyć grupy zabezpieczeń usługi Active Directory zawierającej użytkowników, których chcesz użyć kontenera profilów. W poniższych poleceniach zastąp
<mounted-drive-letter>
literą dysku użytego do mapowania dysku oraz<DOMAIN\GroupName>
domeną i sAMAccountName grupy usługi Active Directory, która będzie wymagać dostępu do udziału. Możesz również określić główną nazwę użytkownika (UPN) użytkownika.icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)" icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)" icacls <mounted-drive-letter>: /remove "Authenticated Users" icacls <mounted-drive-letter>: /remove "Builtin\Users"
Na przykład:
icacls y: /grant "CONTOSO\AVDUsers:(M)" icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)" icacls y: /remove "Authenticated Users" icacls y: /remove "Builtin\Users"
Konfigurowanie hostów sesji do używania kontenera profilu
Aby użyć kontenera profilu, należy upewnić się, że aplikacje FSLogix są zainstalowane na maszynach wirtualnych hosta sesji. Aplikacje FSLogix są wstępnie zainstalowane w wielu sesjach systemu Windows 10 Enterprise i wielosesyjne systemy operacyjne Windows 11 Enterprise, ale nadal należy wykonać poniższe kroki, ponieważ może nie mieć zainstalowanej najnowszej wersji. Jeśli używasz obrazu niestandardowego, możesz zainstalować aplikacje FSLogix na obrazie.
Aby skonfigurować kontener profilu, zalecamy użycie preferencji zasad grupy do ustawiania kluczy rejestru i wartości na dużą skalę na wszystkich hostach sesji. Można je również ustawić w obrazie niestandardowym.
Aby skonfigurować kontener profilu na maszynach wirtualnych hosta sesji:
Zaloguj się do maszyny wirtualnej użytej do utworzenia niestandardowego obrazu lub maszyny wirtualnej hosta sesji z puli hostów.
Jeśli musisz zainstalować lub zaktualizować aplikacje FSLogix, pobierz najnowszą wersję programu FSLogix i zainstaluj ją, uruchamiając
FSLogixAppsSetup.exe
polecenie , a następnie postępuj zgodnie z instrukcjami kreatora instalacji. Aby uzyskać więcej informacji na temat procesu instalacji, w tym dostosowań i instalacji nienadzorowanej, zobacz Pobieranie i instalowanie programu FSLogix.Otwórz wiersz programu PowerShell z podwyższonym poziomem uprawnień i uruchom następujące polecenia, zastępując
\\<storage-account-name>.file.core.windows.net\<share-name>
ciąg ścieżką UNC do utworzonego wcześniej konta magazynu. Te polecenia włączają kontener profilu i konfigurują lokalizację udziału.$regPath = "HKLM:\SOFTWARE\FSLogix\profiles" New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
Uruchom ponownie maszynę wirtualną używaną do tworzenia obrazu niestandardowego lub maszyny wirtualnej hosta sesji. Te kroki należy powtórzyć dla pozostałych maszyn wirtualnych hosta sesji.
Zakończono konfigurowanie kontenera profilu. Jeśli instalujesz kontener profilu w obrazie niestandardowym, musisz zakończyć tworzenie obrazu niestandardowego. Aby uzyskać więcej informacji, wykonaj kroki opisane w sekcji Tworzenie obrazu niestandardowego na platformie Azure w sekcji Wykonaj ostateczną migawkę do wewnątrz.
Weryfikowanie tworzenia profilu
Po zainstalowaniu i skonfigurowaniu kontenera profilu możesz przetestować wdrożenie, logując się przy użyciu konta użytkownika, które zostało przypisane do grupy aplikacji lub pulpitu w puli hostów.
Jeśli użytkownik zalogował się wcześniej, będzie miał istniejący profil lokalny, który będzie używany podczas tej sesji. Najpierw usuń profil lokalny lub utwórz nowe konto użytkownika do użycia na potrzeby testów.
Użytkownicy mogą sprawdzić, czy kontener profilu został skonfigurowany, wykonując poniższe kroki:
Zaloguj się do usługi Azure Virtual Desktop jako użytkownik testowy.
Gdy użytkownik się zaloguje, przed dotarciem do pulpitu powinien zostać wyświetlony komunikat "Czekaj na usługi FSLogix Apps Services".
Administratorzy mogą sprawdzić, czy folder profilu został utworzony, wykonując poniższe kroki:
Otwórz portal Azure Portal.
Otwórz utworzone wcześniej konto magazynu.
Przejdź do pozycji Magazyn danych na koncie magazynu, a następnie wybierz pozycję Udziały plików.
Otwórz udział plików i upewnij się, że folder profilu użytkownika, który został utworzony, znajduje się w nim.
Następne kroki
Bardziej szczegółowe informacje na temat pojęć związanych z kontenerem profilów FSlogix można znaleźć w temacie Zarządzanie profilami użytkowników dla usługi Azure Virtual Desktop za pomocą kontenerów profilów FSLogix.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla