Обновление пароля для идентификации вашей учетной записи хранения в AD DS
Если вы зарегистрировали удостоверение или учетную запись доменных служб Active Directory Domain Services (AD DS), представляющую вашу учетную запись хранения в подразделении организации или в домене, в которой действует время истечения срока действия пароля, пароль необходимо изменить до наступления максимального срока. В организации могут выполняться автоматизированные сценарии очистки, которые удаляют учетные записи по истечении их срока действия. Поэтому, если вы не измените пароль до завершения периода его пригодности, ваша учетная запись может быть удалена, что приведет к потере доступа к общим папкам Azure.
Чтобы предотвратить непреднамеренный смену паролей, во время подключения учетной записи хранения Azure в домене обязательно поместите учетную запись хранения Azure в отдельное подразделение в AD DS. Отключите групповая политика наследование в этом подразделении, чтобы предотвратить применение политик домена по умолчанию или определенных политик паролей.
Примечание
Удостоверение учетной записи хранения в AD DS может быть учетной записью службы или учетной записью компьютера. Срок действия паролей учетной записи службы в AD может истечь; однако, поскольку пароли учетной записи компьютера меняет клиентский компьютер, а не AD, срок их действия в AD не истекает.
Существует два варианта активации смены паролей. Вы можете использовать AzFilesHybrid модуль или Active Directory PowerShell. Используйте один метод, а не оба.
Применяется к
| Тип общей папки | SMB | NFS |
|---|---|---|
| Стандартные общие папки (GPv2), LRS/ZRS |  |
 |
| Стандартные общие папки (GPv2), GRS/GZRS | |
|
| Общие папки уровня "Премиум" (FileStorage), LRS/ZRS | |
|
Использование модуля AzFilesHybrid
Командлет можно выполнить Update-AzStorageAccountADObjectPassword из модуля AzFilesHybrid. Эта команда должна выполняться в локальной среде, присоединенной к AD DS , гибридным удостоверением с разрешениями владельца учетной записи хранения и разрешениями AD DS, чтобы изменить пароль удостоверения, представляющего учетную запись хранения. Команда производит действия, аналогичные смене ключа учетной записи хранения. В частности, он получает второй ключ Kerberos учетной записи хранения и использует его для обновления пароля зарегистрированной учетной записи в AD DS. Затем он повторно создает целевой ключ Kerberos учетной записи хранения и обновляет пароль учетной записи, зарегистрированной в AD DS.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
Это действие изменит пароль для объекта AD с kerb1 на kerb2. Это двухэтапный процесс: смена с kerb1 на kerb2 (kerb2 будет повторно создана в учетной записи хранения перед настройкой), подождите несколько часов, а затем вернитесь обратно на kerb1 (этот командлет также повторно создаст kerb1).
Использование Active Directory PowerShell
Если вы не хотите скачивать AzFilesHybrid модуль, можно использовать Active Directory PowerShell.
Важно!
Командлеты Windows Server Active Directory PowerShell в этом разделе должны выполняться в Windows PowerShell 5.1 с повышенными привилегиями. PowerShell 7.x и Azure Cloud Shell не подходят для этого сценария.
Замените <domain-object-identity> в следующем сценарии своим значением, а затем запустите скрипт, чтобы обновить пароль объекта домена:
$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword