Condividi tramite


Preparare Active Directory per la distribuzione locale di Azure, versione 23H2

Si applica a: Locale di Azure, versione 23H2

Questo articolo descrive come preparare l'ambiente Active Directory prima di distribuire Azure Local, versione 23H2.

I requisiti di Active Directory per Azure Local includono:

  • Unità organizzativa dedicata.
  • Ereditarietà dei criteri di gruppo bloccata per l'oggetto Criteri di gruppo applicabile.
  • Un account utente con tutti i diritti per l'unità organizzativa in Active Directory.
  • I computer non devono essere aggiunti ad Active Directory prima della distribuzione.

Nota

  • È possibile usare il processo esistente per soddisfare i requisiti precedenti. Lo script usato in questo articolo è facoltativo e viene fornito per semplificare la preparazione.
  • Quando l'ereditarietà dei criteri di gruppo viene bloccata a livello di unità organizzativa, gli oggetti Criteri di gruppo applicati non vengono bloccati. Assicurarsi che qualsiasi oggetto Criteri di gruppo applicabile, applicato, venga bloccato anche usando altri metodi, ad esempio usando filtri WMI o gruppi di sicurezza.

Per assegnare manualmente le autorizzazioni necessarie per Active Directory, creare un'unità organizzativa e bloccare l'ereditarietà degli oggetti Criteri di gruppo, vedere Configurazione di Active Directory personalizzata per l'istanza locale di Azure, versione 23H2.

Prerequisiti

Prima di iniziare, assicurarsi di aver eseguito le operazioni seguenti:

Modulo di preparazione di Active Directory

Il New-HciAdObjectsPreCreation cmdlet del modulo PowerShell AsHciADArtifactsPreCreationTool viene usato per preparare Active Directory per le distribuzioni locali di Azure. Ecco i parametri obbligatori associati al cmdlet :

Parametro Descrizione
-AzureStackLCMUserCredential Nuovo oggetto utente creato con le autorizzazioni appropriate per la distribuzione. Questo account corrisponde all'account utente usato dalla distribuzione locale di Azure.
Assicurarsi che sia specificato solo il nome utente. Il nome non deve includere il nome di dominio, contoso\usernamead esempio .
La password deve essere conforme ai requisiti di lunghezza e complessità. Usare una password lunga almeno 12 caratteri. La password deve contenere anche tre dei quattro requisiti: un carattere minuscolo, un carattere maiuscolo, un numero e un carattere speciale.
Per altre informazioni, vedere Requisiti di complessità delle password.
Il nome può usare admin come nome utente.
-AsHciOUName Nuova unità organizzativa (OU) per archiviare tutti gli oggetti per la distribuzione locale di Azure. I criteri di gruppo e l'ereditarietà esistenti vengono bloccati in questa unità organizzativa per assicurarsi che non vi sia alcun conflitto di impostazioni. L'unità organizzativa deve essere specificata come nome distinto (DN). Per altre informazioni, vedere il formato dei nomi distinti.

Nota

  • Il -AsHciOUName percorso non supporta i caratteri speciali seguenti all'interno del percorso: &,",',<,>.
  • Anche lo spostamento degli oggetti computer in un'unità organizzativa diversa dopo il completamento della distribuzione non è supportato.

Preparare Active Directory

Quando si prepara Active Directory, si crea un'unità organizzativa dedicata per inserire gli oggetti correlati a Locale di Azure, ad esempio l'utente di distribuzione.

Per creare un'unità organizzativa dedicata, seguire questa procedura:

  1. Accedere a un computer aggiunto al dominio di Active Directory.

  2. Eseguire PowerShell come amministratore.

  3. Eseguire il comando seguente per creare l'unità organizzativa dedicata.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
    
    
  4. Quando richiesto, specificare il nome utente e la password per la distribuzione.

    1. Assicurarsi che sia specificato solo il nome utente. Il nome non deve includere il nome di dominio, contoso\usernamead esempio . Il nome utente deve essere compreso tra 1 e 64 caratteri e contenere solo lettere, numeri, trattini e caratteri di sottolineatura e potrebbe non iniziare con un trattino o un numero.
    2. Assicurarsi che la password soddisfi i requisiti di complessità e lunghezza. Usare una password lunga almeno 12 caratteri e contiene: un carattere minuscolo, un carattere maiuscolo, un numero e un carattere speciale.

    Di seguito è riportato un output di esempio di completamento dello script:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
    PS C:\work> $user = "ms309deployuser"
    PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
    PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
    PS C:\work>
    
  5. Verificare che l'unità organizzativa sia stata creata. Se si usa un client Windows Server, passare a Strumenti > di Server Manager > Utenti e computer di Active Directory.

  6. Verrà creata un'unità organizzativa con il nome specificato e all'interno dell'unità organizzativa verrà visualizzato l'utente della distribuzione.

    Screenshot della finestra Computer e utenti di Active Directory.

Nota

Se si ripristina un singolo computer, non eliminare l'unità organizzativa esistente. Se i volumi del computer sono crittografati, l'eliminazione dell'unità organizzativa rimuove le chiavi di ripristino di BitLocker.

Passaggi successivi