適用於:Azure Local 2311.2 和更新版本
本文說明 Azure 本機實例部署所需的許可權和 DNS 記錄。 本文也會使用範例,詳細說明如何手動指派許可權,併為Active Directory環境建立 DNS 記錄。
Azure 本機解決方案會部署在大型 Active Directory 中,其中包含已建立的進程和工具來指派許可權。 Microsoft提供 Active Directory 準備腳本 ,可選擇性地用於 Azure 本機部署。 Active Directory 的必要許可權,以及組織單位的建立和 GPO 的繼承封鎖,都可以手動設定。
您也可以選擇要使用的 DNS 伺服器,例如,您可以使用Microsoft支援與 Active Directory 整合的 DNS 伺服器,以利用安全的動態更新。 如果未使用Microsoft DNS 伺服器,您必須為 Azure 本機解決方案的部署和更新建立一組 DNS 記錄。
關於 Active Directory 需求
以下是 Azure 本機部署的一些 Active Directory 需求。
需要專用的組織單位(OU)才能優化物件探索的查詢時間。 對於跨越多個網站的大型 Active Directory 而言,此優化非常重要。 只有計算機物件和 Windows 故障轉移叢集 CNO 才需要此專用 OU。
使用者(也稱為部署使用者)需要具備對專用 OU 的必要權限。 用戶可以位於目錄中的任何位置。
封鎖組策略繼承是必要的,以防止來自組策略物件的任何設定衝突。 Azure Local 引進的新引擎會管理安全性預設值,包括漂移保護。 如需詳細資訊,請參閱 Azure 本機實例的安全性功能。
使用部署用戶可以< c0>預先建立電腦帳號物件和叢集 CNO,以替代部署過程中自行創建這些項目。
所需的權限
作為部署使用者參考的用戶物件所需的權限,限定僅適用於專用 OU。 許可權可以摘要為讀取、建立和刪除計算機物件,且能夠擷取 BitLocker 修復資訊。
下表列出了部署使用者和叢集 CNO 在 OU 和所有子代物件上所需的許可權。
| 角色 | 指派許可權的描述 |
|---|---|
| 部署使用者對 OU 和所有子代物件開展操作 | 列出內容。 讀取所有屬性。 讀取權限。 建立計算機物件。 刪除計算機物件。 |
| 透過 OU 部署使用者,但只套用至子系 msFVE-Recoveryinformation 物件 | 全面掌控。 列出內容。 讀取所有屬性。 寫入所有屬性。 刪除。 讀取權限。 修改許可權。 更改擁有者。 所有已驗證的記錄。 |
| 套用於此物件和所有後代物件的 OU 的叢集 CNO | 讀取所有屬性。 建立 Computer 物件。 |
使用 PowerShell 指派許可權
您可以使用 PowerShell Cmdlet 將適當的許可權指派給透過 OU 部署使用者。 下列範例示範如何透過位於 Active Directory 網域 contoso.com 的 OU HCI001,將必要許可權指派給部署使用者。
注意
腳本會要求您在Active Directory 中預先建立用戶物件 New-ADUser 和 OU 。 msFVE-RecoveryInformation 必須透過PowerShell設定。 使用 Active Directory 委派精靈不適用於該案例。
如需如何封鎖組策略繼承的詳細資訊,請參閱 Set-GPInheritance。
執行下列 PowerShell Cmdlet 以匯入 Active Directory 模組並指派必要的許可權:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path "AD:$ouPath"
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path "AD:$ouPath" -AclObject $acl
必要的 DNS 記錄
如果您的 DNS 伺服器不支援安全的動態更新,您必須先建立必要的 DNS 記錄,才能部署 Azure 本機系統。
下表包含必要的 DNS 記錄和類型:
| 物件 | 類型 |
|---|---|
| 電腦名稱 | 主機 A |
| 叢集 CNO | 主機 A |
| VCO 叢集 | 主機 A |
注意
每個成為 Azure 本機系統一部分的電腦都需要 DNS 記錄。
範例 - 確認 DNS 記錄存在
若要確認 DNS 記錄存在,請執行下列命令:
nslookup "machine name"
不相交命名空間
當一或多部網域成員計算機的主要 DNS 後綴不符合其 Active Directory 網域的 DNS 名稱時,就會出現不一致命名空間。 例如,如果計算機具有 corp.contoso.com 的 DNS 名稱,但屬於名為 na.corp.contoso.com 的 Active Directory 網域的一部分,則會使用脫離的命名空間。
部署 Azure 本機實例之前,您必須:
- 將 DNS 後綴附加至每個節點的管理配接器。 DNS 後綴必須符合 Active Directory 網域名稱。
- 確認您可以將主機名稱解析為 Active Directory 的完整網域名稱 (FQDN)。
範例 - 附加 DNS 後綴
若要附加 DNS 後綴,請執行下列命令:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
範例 - 將主機名解析為 FQDN
若要將主機名解析為 FQDN,請執行下列命令:
nslookup node1.na.corp.contoso.com
注意
您無法使用組策略來設定具有 Azure 本機實例的 DNS 後綴清單。
叢集感知更新(CAU)
叢集感知更新會套用需要 DNS 記錄的用戶端存取點(虛擬計算機物件)。
在無法進行動態安全更新的環境中,您必須手動建立虛擬計算機物件 (VCO)。 如需如何建立 VCO 的詳細資訊,請參閱 在 Active Directory 網域服務中預先設置叢集計算機物件。
注意
請務必在 Windows DNS 用戶端中停用動態 DNS 更新。 此設定會受到漂移控件的保護,並內建於網路ATC中。 禁用動態更新後立即建立 VCO,以防止漂移回退。 如需如何變更此受保護設定的詳細資訊,請參閱 修改安全性預設值。
範例 – 停用動態更新
若要停用動態更新,請執行下列命令:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
下一步
請繼續至: