Förbereda Active Directory för Azure Stack HCI, version 23H2-distribution

  • Artikel

Gäller för: Azure Stack HCI, version 23H2

Den här artikeln beskriver hur du förbereder din Active Directory-miljö innan du distribuerar Azure Stack HCI, version 23H2.

Active Directory-krav för Azure Stack HCI omfattar:

  • En dedikerad organisationsenhet (OU).
  • Arv av grupprincip som blockeras för tillämpligt grupprincip-objekt (GPO).
  • Ett användarkonto som har alla rättigheter till organisationsenheten i Active Directory.

Anteckning

  • Du kan använda din befintliga process för att uppfylla ovanstående krav. Skriptet som används i den här artikeln är valfritt och tillhandahålls för att förenkla förberedelsen.
  • När arv av grupprinciper blockeras på organisationsenhetsnivå blockeras inte framtvingade grupprincipobjekt. Se till att alla tillämpliga grupprincipobjekt, som framtvingas, också blockeras med andra metoder, till exempel med hjälp av WMI-filter eller säkerhetsgrupper.

Förutsättningar

Kontrollera att du har gjort följande innan du börjar:

  • Uppfylla kraven för nya distributioner av Azure Stack HCI.

  • Ladda ned och installera modulen version 2402 från PowerShell-galleriet. Kör följande kommando från mappen där modulen finns:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force

    Anteckning

    Se till att avinstallera alla tidigare versioner av modulen innan du installerar den nya versionen.

  • Du har fått behörighet att skapa en organisationsenhet. Kontakta Active Directory-administratören om du inte har behörighet.

Active Directory-förberedelsemodul

Modulen AsHciADArtifactsPreCreationTool.ps1 används för att förbereda Active Directory. Här är de obligatoriska parametrarna som är associerade med cmdleten:

Parameter Beskrivning
-AzureStackLCMUserCredential Ett nytt användarobjekt som skapas med rätt behörigheter för distribution. Det här kontot är samma som det användarkonto som används av Azure Stack HCI-distributionen.
Kontrollera att endast användarnamnet har angetts. Namnet får inte innehålla domännamnet, contoso\usernametill exempel .
Lösenordet måste uppfylla kraven på längd och komplexitet. Använd ett lösenord som är minst 12 tecken långt. Lösenordet måste också innehålla tre av de fyra kraven: ett gemener, ett versalt tecken, ett tal och ett specialtecken.
Mer information finns i krav på lösenordskomplexitet.
Namnet kan använda administratören som användarnamn.
-AsHciOUName En ny organisationsenhet (OU) som lagrar alla objekt för Azure Stack HCI-distributionen. Befintliga grupprinciper och arv blockeras i den här organisationsenheten för att säkerställa att det inte finns någon konflikt mellan inställningarna. Organisationsenheten måste anges som det unika namnet (DN). Mer information finns i formatet för Unika namn.

Anteckning

  • Sökvägen -AsHciOUName stöder inte följande specialtecken någonstans i sökvägen - &,”,’,<,>.
  • Det går inte heller att flytta datorobjekten till en annan organisationsenhet när distributionen är klar.

Förbereda Active Directory

När du förbereder Active Directory skapar du en dedikerad organisationsenhet (OU) för att placera Azure Stack HCI-relaterade objekt, till exempel distributionsanvändare.

Följ dessa steg om du vill skapa en dedikerad organisationsenhet:

  1. Logga in på en dator som är ansluten till din Active Directory-domän.

  2. Kör PowerShell som administratör.

  3. Kör följande kommando för att skapa den dedikerade organisationsenheten.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Ange användarnamnet och lösenordet för distributionen när du uppmanas till det.

    1. Kontrollera att endast användarnamnet har angetts. Namnet får inte innehålla domännamnet, contoso\usernametill exempel . Användarnamnet måste vara mellan 1 och 64 tecken och får endast innehålla bokstäver, siffror, bindestreck och understreck och får inte börja med bindestreck eller nummer.
    2. Kontrollera att lösenordet uppfyller komplexitets- och längdkraven. Använd ett lösenord som är minst 12 tecken långt och innehåller: gemener, versaler, siffror och specialtecken.

    Här är ett exempel på utdata från ett lyckat slutförande av skriptet:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Kontrollera att organisationsenheten har skapats. Om du använder en Windows Server-klient går du till Serverhanteraren > Tools > Active Directory - användare och datorer.

  6. En organisationsenhet med det angivna namnet ska skapas och inom organisationsenheten visas distributionsanvändaren.

    Skärmbild av fönstret Active Directory-datorer och -användare.

Anteckning

Om du reparerar en enskild server ska du inte ta bort den befintliga organisationsenheten. Om servervolymerna är krypterade tar OU bort BitLocker-återställningsnycklarna.

Nästa steg