Active Directory'yi Azure Yerel, sürüm 23H2 dağıtımı için hazırlama
Şunlar için geçerlidir: Azure Yerel 2311.2 ve üzeri
Bu makalede, Azure Yerel, sürüm 23H2'yi dağıtmadan önce Active Directory ortamınızı nasıl hazırlayabileceğiniz açıklanır.
Azure Yerel için Active Directory gereksinimleri şunlardır:
- Ayrılmış bir Kuruluş Birimi (OU).
- İlgili Grup İlkesi Nesnesi (GPO) için engellenen grup ilkesi devralma.
- Active Directory'deki OU üzerinde tüm hakları olan bir kullanıcı hesabı.
- Makinelerin dağıtımdan önce Active Directory'ye katılmaması gerekir.
Not
- Yukarıdaki gereksinimleri karşılamak için mevcut sürecinizi kullanabilirsiniz. Bu makalede kullanılan betik isteğe bağlıdır ve hazırlığı basitleştirmek için sağlanır.
- Grup ilkesi devralma OU düzeyinde engellendiğinde, zorlanan GPO'lar engellenmez. Uygulanan tüm geçerli GPO'ların, örneğin WMI Filtrelerikullanılarak başka yöntemler kullanılarak engellenmiş olduğundan emin olun.
Active Directory için gerekli izinleri el ile atamak, bir OU oluşturmak ve GPO devralmayı engellemek için bkz . Azure Yerel, sürüm 23H2 için özel Active Directory yapılandırması.
Önkoşullar
Başlamadan önce aşağıdakileri yaptığınızdan emin olun:
PowerShell Galerisi sürüm 2402 modülünü indirin ve yükleyin. Modülün bulunduğu klasörden aşağıdaki komutu çalıştırın:
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -ForceNot
Yeni sürümü yüklemeden önce modülün önceki sürümlerini kaldırdığınızdan emin olun.
OU oluşturmak için izinler edindiniz. İzinleriniz yoksa Active Directory yöneticinize başvurun.
Azure Yerel sisteminizle Active Directory arasında bir güvenlik duvarınız varsa, uygun güvenlik duvarı kurallarının yapılandırıldığından emin olun. Belirli yönergeler için bkz . Active Directory Web Hizmetleri ve Active Directory Ağ Geçidi Yönetim Hizmeti için güvenlik duvarı gereksinimleri. Ayrıca bkz. Active Directory etki alanları ve güvenleri için güvenlik duvarı yapılandırma.
Active Directory hazırlık modülü
Active Directory'yi New-HciAdObjectsPreCreation Azure Yerel dağıtımlarına hazırlamak için AsHciADArtifactsPreCreationTool PowerShell modülünün cmdlet'i kullanılır. cmdlet'iyle ilişkili gerekli parametreler şunlardır:
| Parametre | Açıklama |
|---|---|
-AzureStackLCMUserCredential |
Dağıtım için uygun izinlerle oluşturulan yeni bir kullanıcı nesnesi. Bu hesap, Azure Stack HCI dağıtımı tarafından kullanılan kullanıcı hesabıyla aynıdır. Yalnızca kullanıcı adının sağlandığından emin olun. Ad, etki alanı adını (örneğin, contoso\username) içermemelidir.Parolanın uzunluk ve karmaşıklık gereksinimlerine uygun olması gerekir. En az 12 karakter uzunluğunda bir parola kullanın. Parola ayrıca dört gereksinimden üç tane içermelidir: küçük harf karakter, büyük harf karakter, sayı ve özel karakter. Daha fazla bilgi için bkz . Parola karmaşıklığı gereksinimleri. Ad, yerel yönetici kullanıcıyla tam olarak aynı olamaz. Ad, kullanıcı adı olarak admin kullanabilir. |
-AsHciOUName |
Azure Stack HCI dağıtımına yönelik tüm nesneleri depolamak için yeni bir Kuruluş Birimi (OU). Ayarlarda çakışma olmadığından emin olmak için bu OU'da mevcut grup ilkeleri ve devralma engellenir. OU ayırt edici ad (DN) olarak belirtilmelidir. Daha fazla bilgi için Bkz. Ayırt Edici Adlar biçimi. |
Not
- Yol,
-AsHciOUNameyolun herhangi bir yerinde aşağıdaki özel karakterleri desteklemez:&,",',<,>. - Dağıtım tamamlandıktan sonra bilgisayar nesnelerinin farklı bir OU'ya taşınması da desteklenmez.
Active Directory'i hazırlama
Active Directory'yi hazırlarken, dağıtım kullanıcısı gibi Azure Yerel ile ilgili nesneleri yerleştirmek için ayrılmış bir Kuruluş Birimi (OU) oluşturursunuz.
Ayrılmış bir OU oluşturmak için şu adımları izleyin:
Active Directory etki alanınıza katılmış bir bilgisayarda oturum açın.
PowerShell'i yönetici olarak çalıştırın.
Ayrılmış OU'ları oluşturmak için aşağıdaki komutu çalıştırın.
New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"İstendiğinde, dağıtım için kullanıcı adını ve parolayı belirtin.
- Yalnızca kullanıcı adının sağlandığından emin olun. Ad, etki alanı adını (örneğin,
contoso\username) içermemelidir. Kullanıcı adı 1 ile 64 karakter arasında olmalı ve yalnızca harf, sayı, kısa çizgi ve alt çizgi içermelidir ve kısa çizgi veya sayıyla başlanmamalıdır. - Parolanın karmaşıklık ve uzunluk gereksinimlerini karşıladığından emin olun. En az 12 karakter uzunluğunda ve şunu içeren bir parola kullanın: küçük harf karakter, büyük harf karakter, sayı ve özel karakter.
Betiğin başarıyla tamamlanmasının örnek çıktısı aşağıda verilmiştir:
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force PS C:\work> $user = "ms309deployuser" PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password) PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com" PS C:\work>- Yalnızca kullanıcı adının sağlandığından emin olun. Ad, etki alanı adını (örneğin,
OU'nin oluşturulduğunu doğrulayın. Windows Server istemcisi kullanıyorsanız Sunucu Yöneticisi Araçları > Active Directory Kullanıcıları ve Bilgisayarları'ne> gidin.
Belirtilen ada sahip bir OU oluşturulmalıdır ve bu OU'nun içinde dağıtım kullanıcısını görürsünüz.
Not
Tek bir makineyi onarıyorsanız mevcut OU'yu silmeyin. Makine birimleri şifrelenirse, OU silindiğinde BitLocker kurtarma anahtarları kaldırılır.