Aracılığıyla paylaş

Azure Dosyalar ve Active Directory Etki Alanı Hizmetleri veya Microsoft Entra Domain Services ile FSLogix Profil Kapsayıcısı ayarlama

  • Makale

Bu makalede, oturum ana bilgisayar sanal makineleriniz (VM'ler) bir Active Directory Etki Alanı Hizmetleri (AD DS) etki alanına veya Microsoft Entra Domain Services yönetilen etki alanına katıldığında FSLogix Profil Kapsayıcısı'nın Azure Dosyalar ile nasıl ayarlanacağı gösterilir.

Önkoşullar

Aşağıdakilere ihtiyacınız vardır:

  • Oturum konaklarının bir AD DS etki alanına veya Microsoft Entra Domain Services yönetilen etki alanına katıldığı ve kullanıcıların atandığı bir konak havuzu.
  • Etki alanınızda Profil Kapsayıcısı'nı kullanacak kullanıcıları içeren bir güvenlik grubu. AD DS kullanıyorsanız, bunun Microsoft Entra Id ile eşitlenmesi gerekir.
  • Azure aboneliğinizde depolama hesabı oluşturma ve rol atamaları ekleme izni.
  • Bilgisayarları etki alanına katmak ve yükseltilmiş bir PowerShell istemi açmak için bir etki alanı hesabı.
  • Depolama hesabınızın bulunacağı Azure aboneliğinizin abonelik kimliği.
  • Bir depolama hesabını etki alanınıza katacak PowerShell modüllerini yüklemek ve çalıştırmak için etki alanınıza katılmış bir bilgisayar. Bu cihazın Windows'un Desteklenen bir sürümünü çalıştırması gerekir. Alternatif olarak, bir oturum konağı kullanabilirsiniz.

Önemli

Kullanıcılar daha önce kullanmak istediğiniz oturum konaklarında oturum açtıysa, bunlar için yerel profiller oluşturulmuştur ve profillerinin Profil Kapsayıcısında depolanması için önce yönetici tarafından silinmesi gerekir.

Profil Kapsayıcısı için depolama hesabı ayarlama

Depolama hesabı ayarlamak için:

  1. Azure Portal’ında oturum açın.

  2. Arama çubuğunda Depolama hesaplarını arayın.

  3. +Oluştur'u seçin.

  4. Depolama hesabı oluştur sayfasındaki Temel Bilgiler sekmesine aşağıdaki bilgileri girin:

    • Depolama hesabını depolamak için yeni bir kaynak grubu oluşturun veya mevcut bir kaynak grubunu seçin.
    • Depolama hesabınız için benzersiz bir ad girin. Bu depolama hesabı adının 3 ile 24 karakter arasında olması gerekir.
    • Bölge için Azure Sanal Masaüstü konak havuzuyla aynı konumu seçmenizi öneririz.
    • Performans için En düşük olarak Standart'ı seçin.
    • Premium performans'ı seçerseniz, Premium hesap türünü Dosya paylaşımları olarak ayarlayın.
    • Yedeklilik için en az yerel olarak yedekli depolama (LRS) seçeneğini belirleyin.
    • Kalan sekmelerdeki varsayılan değerlerin değiştirilmesi gerekmez.

    İpucu

    Kuruluşunuzun şu varsayılanları değiştirme gereksinimleri olabilir:

    • Premium seçmeniz gerekip gerekmediği IOPS ve gecikme süresi gereksinimlerinize bağlıdır. Daha fazla bilgi için bkz . Azure Sanal Masaüstü'nde FSLogix Profil Kapsayıcıları için depolama seçenekleri.
    • Gelişmiş sekmesinde Depolama hesabı anahtarı erişimini etkinleştir seçeneği etkin bırakılmalıdır.
    • Kalan yapılandırma seçenekleri hakkında daha fazla bilgi için bkz. Azure Dosyalar dağıtımı planlama.

  5. Gözden geçir ve oluştur’u seçin. Kullanılacak parametreleri ve değerleri gözden geçirin ve Oluştur'u seçin.

  6. Depolama hesabı oluşturulduktan sonra Kaynağa git'i seçin.

  7. Veri depolama bölümünde Dosya paylaşımları'nı seçin.

  8. + Dosya paylaşımı’nı seçin.

  9. Profiller gibi bir Ad girin ve katman için İşlem için iyileştirilmiş'i seçin.

Depolama hesabınızı Active Directory'ye ekleme

Dosya paylaşımınızın paylaşım izinleri için Active Directory hesaplarını kullanmak için AD DS veya Microsoft Entra Domain Services'i kaynak olarak etkinleştirmeniz gerekir. Bu işlem, depolama hesabınızı bilgisayar hesabı olarak temsil eden bir etki alanına ekler. Senaryonuz için aşağıdaki ilgili sekmeyi seçin ve adımları izleyin.

  1. AD DS etki alanınıza katılmış bir bilgisayarda oturum açın. Alternatif olarak, oturum konaklarınızdan birinde oturum açın.

  2. Azure Dosyalar örnekleri GitHub deposundan AzFilesHybrid'in en son sürümünü indirin ve ayıklayın. Dosyaları ayıkladığınız klasörü not edin.

  3. Yükseltilmiş bir PowerShell istemi açın ve dosyaları ayıkladığınız dizine geçin.

  4. Aşağıdaki komutu çalıştırarak AzFilesHybrid modülü kullanıcınızın PowerShell modülleri dizinine ekleyin:

    .\CopyToPSPath.ps1

  5. AzFilesHybrid Aşağıdaki komutu çalıştırarak modülü içeri aktarın:

    Import-Module -Name AzFilesHybrid

    Önemli

    Bu modül için PowerShell Galerisi ve Azure PowerShell gerekir. Henüz yüklenmemişse veya güncelleştirilmesi gerekiyorsa bunları yüklemeniz istenebilir. Bunlar istenirse, bunları yükleyin ve ardından PowerShell'in tüm örneklerini kapatın. Yükseltilmiş bir PowerShell istemini yeniden açın ve devam etmeden önce modülü yeniden içeri aktarın AzFilesHybrid .

  6. Aşağıdaki komutu çalıştırarak Azure'da oturum açın. Aşağıdaki rol tabanlı erişim denetimi (RBAC) rollerinden birine sahip bir hesap kullanmanız gerekir:

    • Depolama hesabı sahibi
    • Sahip
    • Katılımcı
    Connect-AzAccount

    İpucu

    Azure hesabınızın birden çok kiracıya ve/veya aboneliğe erişimi varsa bağlamınızı ayarlayarak doğru aboneliği seçmeniz gerekir. Daha fazla bilgi için bkz. Azure PowerShell bağlam nesneleri

  7. Aşağıdaki komutları çalıştırarak, , $resourceGroupNameve $storageAccountName değerlerini $subscriptionIddeğerlerinizle değiştirerek depolama hesabını etki alanınıza ekleyin. Bilgisayar hesabının yerleştirildiği kuruluş birimini (OU) belirtmek için parametresini -OrganizationalUnitDistinguishedName de ekleyebilirsiniz.

    $subscriptionId = "subscription-id"
$resourceGroupName = "resource-group-name"
$storageAccountName = "storage-account-name"

Join-AzStorageAccount `
    -ResourceGroupName $ResourceGroupName `
    -StorageAccountName $StorageAccountName `
    -DomainAccountType "ComputerAccount"

  8. Depolama hesabının etki alanınıza katıldığını doğrulamak için $resourceGroupName$storageAccountName aşağıdaki komutları çalıştırın ve ve değerlerini değerlerinizle değiştirerek çıktıyı gözden geçirin:

    $resourceGroupName = "resource-group-name"
$storageAccountName = "storage-account-name"

(Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties

Önemli

Etki alanınız parola süresinin dolmasını zorunlu kılarsa, Azure dosya paylaşımlarına erişirken kimlik doğrulaması hatalarını önlemek için parolanın süresi dolmadan önce parolayı güncelleştirmeniz gerekir. Daha fazla bilgi için bkz . AD DS'de depolama hesabı kimliğinizin parolasını güncelleştirme.

Kullanıcılara RBAC rolü atama

Profillerini dosya paylaşımınızda depolaması gereken kullanıcıların buna erişmek için izni olmalıdır. Bunu yapmak için her kullanıcıya Depolama Dosyası Verileri SMB Paylaşımı Katkıda Bulunanı rolünü atamanız gerekir.

Kullanıcılara rolü atamak için:

  1. Azure portalından depolama hesabına ve ardından daha önce oluşturduğunuz dosya paylaşımına göz atın.

  2. Erişim denetimi (IAM) öğesini seçin.

  3. + Ekle'yi ve ardından açılan menüden Rol ataması ekle'yi seçin.

  4. Depolama Dosyası Verileri SMB Paylaşımı Katkıda Bulunanı rolünü seçin ve İleri'yi seçin.

  5. Üyeler sekmesinde Kullanıcı, grup veya hizmet sorumlusu'na ve ardından +Üye seç'e tıklayın. Arama çubuğunda Profil Kapsayıcısı'nı kullanacak kullanıcıları içeren güvenlik grubunu arayın ve seçin.

  6. Atamayı tamamlamak için Gözden geçir ve ata’yı seçin.

NTFS izinlerini ayarlama

Ardından, klasör üzerinde NTFS izinlerini ayarlamanız gerekir. Bu, Depolama hesabınızın erişim anahtarını almanız gerekir.

Depolama hesabı erişim anahtarını almak için:

  1. Azure portalında arama çubuğunda depolama hesabını arayın ve seçin.

  2. Depolama hesapları listesinden, kimlik kaynağı olarak Active Directory Etki Alanı Hizmetleri'ni veya Microsoft Entra Domain Services'i etkinleştirdiğiniz ve önceki bölümlerde için RBAC rolünü atadığınız hesabı seçin.

  3. Güvenlik + ağ altında Erişim anahtarları'nı seçin, ardından anahtarı göster ve anahtar1'den kopyala.

Klasörde doğru NTFS izinlerini ayarlamak için:

  1. Konak havuzunuzun parçası olan bir oturum ana bilgisayarında oturum açın.

  2. Yükseltilmiş bir PowerShell istemi açın ve depolama hesabını oturum konağınızda bir sürücü olarak eşlemek için aşağıdaki komutu çalıştırın. Eşlenen sürücü Dosya Gezgini gösterilmez, ancak komutuyla net use görüntülenebilir. Bu, paylaşımda izinleri ayarlayabilmeniz için yapılır.

    net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
    • yerine <desired-drive-letter> istediğiniz sürücü harfini yazın (örneğin, y:).
    • her iki örneğini <storage-account-name> de daha önce belirttiğiniz depolama hesabının adıyla değiştirin.
    • değerini daha önce oluşturduğunuz paylaşımın adıyla değiştirin <share-name> .
    • değerini Azure'dan depolama hesabı anahtarıyla değiştirin <storage-account-key> .

    Örneğin:

    net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile

  3. Paylaşımda Azure Sanal Masaüstü kullanıcılarınızın kendi profillerini oluşturmasına izin veren izinleri ayarlamak ve diğer kullanıcıların profillerine erişimi engellemek için aşağıdaki komutları çalıştırın. Profil Kapsayıcısı'nı kullanmak istediğiniz kullanıcıları içeren bir Active Directory güvenlik grubu kullanmalısınız. Aşağıdaki komutlarda değerini, sürücüyü eşlemek için kullandığınız sürücünün harfiyle ve <DOMAIN\GroupName> paylaşıma erişim gerektiren Active Directory grubunun etki alanı ve sAMAccountName ile değiştirin<mounted-drive-letter>. Ayrıca, bir kullanıcının kullanıcı asıl adını (UPN) belirtebilirsiniz.

    icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
icacls <mounted-drive-letter>: /remove "Authenticated Users"
icacls <mounted-drive-letter>: /remove "Builtin\Users"

    Örneğin:

    icacls y: /grant "CONTOSO\AVDUsers:(M)"
icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
icacls y: /remove "Authenticated Users"
icacls y: /remove "Builtin\Users"

Oturum konaklarını Profil Kapsayıcısı kullanacak şekilde yapılandırma

Profil Kapsayıcısı'nı kullanmak için oturum ana bilgisayar VM'lerinizde FSLogix Uygulamalarının yüklü olduğundan emin olmanız gerekir. FSLogix Uygulamaları, Windows 10 Enterprise çoklu oturum ve Windows 11 Enterprise çoklu oturum işletim sistemlerinde önceden yüklenmiştir, ancak en son sürüm yüklü olmadığından aşağıdaki adımları yine de izlemeniz gerekir. Özel görüntü kullanıyorsanız, görüntünüze FSLogix Uygulamaları yükleyebilirsiniz.

Profil Kapsayıcısı'nı yapılandırmak için, tüm oturum konaklarınızda kayıt defteri anahtarlarını ve değerlerini uygun ölçekte ayarlamak için Grup İlkesi Tercihleri'ni kullanmanızı öneririz. Bunları özel görüntünüzde de ayarlayabilirsiniz.

Oturum ana bilgisayar VM'lerinizde Profil Kapsayıcısını yapılandırmak için:

  1. Konak havuzunuzdan özel görüntünüzü veya oturum konağı VM'nizi oluşturmak için kullanılan VM'de oturum açın.

  2. FSLogix Uygulamalarını yüklemeniz veya güncelleştirmeniz gerekiyorsa, FSLogix'in en son sürümünü indirin ve komutunu çalıştırarak FSLogixAppsSetup.exeyükleyin ve ardından kurulum sihirbazındaki yönergeleri izleyin. Özelleştirmeler ve katılımsız yükleme de dahil olmak üzere yükleme işlemi hakkında daha fazla ayrıntı için bkz . FSLogix'i İndirme ve Yükleme.

  3. Yükseltilmiş bir PowerShell istemi açın ve öğesini daha önce oluşturduğunuz depolama hesabınızın UNC yoluyla değiştirerek \\<storage-account-name>.file.core.windows.net\<share-name> aşağıdaki komutları çalıştırın. Bu komutlar Profil Kapsayıcısı'nı etkinleştirir ve paylaşımın konumunu yapılandırır.

    $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force

  4. Özel görüntünüzü veya oturum konağı VM'nizi oluşturmak için kullanılan VM'yi yeniden başlatın. Kalan tüm oturum konağı VM'leri için bu adımları yinelemeniz gerekir.

Profil Kapsayıcısı'nı ayarlama işlemini tamamladınız. Profil Kapsayıcısı'nı özel görüntünüze yüklüyorsanız, özel görüntü oluşturmayı tamamlamanız gerekir. Daha fazla bilgi için Son anlık görüntüyü alma bölümündeki Azure'da özel görüntü oluşturma bölümündeki adımları izleyin.

Profil oluşturmayı doğrulama

Profil Kapsayıcısı'nı yükleyip yapılandırdıktan sonra, konak havuzunda uygulama grubu veya masaüstü atanmış bir kullanıcı hesabıyla oturum açarak dağıtımınızı test edebilirsiniz.

Kullanıcı daha önce oturum açtıysa, bu oturum sırasında kullanabilecekleri bir yerel profili olacaktır. Önce yerel profili silin veya testler için kullanılacak yeni bir kullanıcı hesabı oluşturun.

Kullanıcılar aşağıdaki adımları izleyerek Profil Kapsayıcısı'nın ayarlandığını denetleyebiliyor:

  1. Azure Sanal Masaüstü'nde test kullanıcısı olarak oturum açın.

  2. Kullanıcı oturum açtığında, masaüstüne ulaşmadan önce "Lütfen FSLogix Uygulamaları Hizmetlerini bekleyin" iletisi oturum açma işleminin bir parçası olarak görünmelidir.

Yöneticiler aşağıdaki adımları izleyerek profil klasörünün oluşturulduğunu denetleyebiliyor:

  1. Azure portalını açın.

  2. Daha önce oluşturduğunuz depolama hesabını açın.

  3. Depolama hesabınızda Veri depolama'ya gidin ve Dosya paylaşımları'na tıklayın.

  4. Dosya paylaşımınızı açın ve oluşturduğunuz kullanıcı profili klasörünün orada olduğundan emin olun.

Sonraki adımlar

FSLogix profil kapsayıcıları ile Azure Sanal Masaüstü için kullanıcı profili yönetimi bölümünde FSlogix profil kapsayıcısıyla ilgili kavramlar hakkında daha ayrıntılı bilgi bulabilirsiniz.