Aracılığıyla paylaş

FSLogix profil kapsayıcılarını Azure Dosyalar ve Active Directory Etki Alanı Hizmetleri'ne veya Microsoft Entra Domain Services'a depolama

  • Makale

Bu makalede, oturum ana bilgisayar sanal makineleriniz (VM'ler) bir Active Directory Etki Alanı Hizmetleri (AD DS) etki alanına veya Microsoft Entra Domain Services yönetilen etki alanına katıldığında Azure Dosyalar ile bir FSLogix profil kapsayıcısı ayarlama işlemi gösterilmektedir.

Önkoşullar

Profil kapsayıcısını yapılandırmak için aşağıdakilere ihtiyacınız vardır:

  • Oturum konaklarının bir AD DS etki alanına veya Microsoft Entra Domain Services yönetilen etki alanına katıldığı ve kullanıcıların atandığı bir konak havuzu.
  • Etki alanınızda profil kapsayıcısını kullanacak kullanıcıları içeren bir güvenlik grubu. AD DS kullanıyorsanız, bunun Microsoft Entra Id ile eşitlenmesi gerekir.
  • Azure aboneliğinizde depolama hesabı oluşturma ve rol atamaları ekleme izni.
  • Bilgisayarları etki alanına katmak ve yükseltilmiş bir PowerShell istemi açmak için bir etki alanı hesabı.
  • Depolama hesabınızın bulunacağı Azure aboneliğinizin abonelik kimliği.
  • Bir depolama hesabını etki alanınıza katacak PowerShell modüllerini yüklemek ve çalıştırmak için etki alanınıza katılmış bir bilgisayar. Bu cihazın Windows'un Desteklenen bir sürümünü çalıştırması gerekir. Alternatif olarak, bir oturum konağı kullanabilirsiniz.

Önemli

Kullanıcılar daha önce kullanmak istediğiniz oturum konaklarında oturum açtıysa, bunlar için yerel profiller oluşturulur ve profillerinin bir profil kapsayıcısında depolanması için önce yönetici tarafından silinmesi gerekir.

Profil kapsayıcısı için depolama hesabı ayarlama

Depolama hesabı ayarlamak için:

  1. Henüz bir azure depolama hesabınız yoksa bir Azure Depolama hesabı oluşturun.

    İpucu

    Kuruluşunuzun şu varsayılanları değiştirme gereksinimleri olabilir:

    • Premium seçmeniz gerekip gerekmediği IOPS ve gecikme süresi gereksinimlerinize bağlıdır. Daha fazla bilgi için bkz . Kapsayıcı depolama seçenekleri.
    • Gelişmiş sekmesinde Depolama hesabı anahtarı erişimini etkinleştir seçeneği etkin bırakılmalıdır.
    • Kalan yapılandırma seçenekleri hakkında daha fazla bilgi için bkz. Azure Dosyalar dağıtımı planlama.

  2. Henüz yapmadıysanız FSLogix profillerinizi depolamak için depolama hesabınızın altında bir Azure Dosyalar paylaşımı oluşturun.

Depolama hesabınızı Active Directory'ye ekleme

Dosya paylaşımınızın paylaşım izinleri için Active Directory hesaplarını kullanmak için AD DS veya Microsoft Entra Domain Services'i kaynak olarak etkinleştirmeniz gerekir. Bu işlem, depolama hesabınızı bilgisayar hesabı olarak temsil eden bir etki alanına ekler. Senaryonuz için aşağıdaki ilgili sekmeyi seçin ve adımları izleyin.

  1. AD DS etki alanınıza katılmış bir bilgisayarda oturum açın. Alternatif olarak, oturum konaklarınızdan birinde oturum açın.

  2. Azure Dosyalar örnekleri GitHub deposundan AzFilesHybrid'in en son sürümünü indirin ve ayıklayın. Dosyaları ayıkladığınız klasörü not edin.

  3. Yükseltilmiş bir PowerShell istemi açın ve dosyaları ayıkladığınız dizine geçin.

  4. Aşağıdaki komutu çalıştırarak AzFilesHybrid modülü kullanıcınızın PowerShell modülleri dizinine ekleyin:

    .\CopyToPSPath.ps1

  5. AzFilesHybrid Aşağıdaki komutu çalıştırarak modülü içeri aktarın:

    Import-Module -Name AzFilesHybrid

    Önemli

    Bu modül için PowerShell Galerisi ve Azure PowerShell gerekir. Henüz yüklenmemişse veya güncelleştirilmesi gerekiyorsa bunları yüklemeniz istenebilir. Bunlar istenirse, bunları yükleyin ve ardından PowerShell'in tüm örneklerini kapatın. Yükseltilmiş bir PowerShell istemini yeniden açın ve devam etmeden önce modülü yeniden içeri aktarın AzFilesHybrid .

  6. Aşağıdaki komutu çalıştırarak Azure'da oturum açın. Aşağıdaki rol tabanlı erişim denetimi (RBAC) rollerinden birine sahip bir hesap kullanmanız gerekir:

    • Depolama hesabı sahibi
    • Sahip
    • Katılımcı
    Connect-AzAccount

    İpucu

    Azure hesabınızın birden çok kiracıya ve/veya aboneliğe erişimi varsa bağlamınızı ayarlayarak doğru aboneliği seçmeniz gerekir. Daha fazla bilgi için bkz. Azure PowerShell bağlam nesneleri

  7. Aşağıdaki komutları çalıştırarak, , $resourceGroupNameve $storageAccountName değerlerini $subscriptionIddeğerlerinizle değiştirerek depolama hesabını etki alanınıza ekleyin. Bilgisayar hesabının yerleştirildiği kuruluş birimini (OU) belirtmek için parametresini -OrganizationalUnitDistinguishedName de ekleyebilirsiniz.

    $subscriptionId = "subscription-id"
$resourceGroupName = "resource-group-name"
$storageAccountName = "storage-account-name"

Join-AzStorageAccount `
    -ResourceGroupName $ResourceGroupName `
    -StorageAccountName $StorageAccountName `
    -DomainAccountType "ComputerAccount"

  8. Depolama hesabının etki alanınıza katıldığını doğrulamak için aşağıdaki komutları çalıştırın ve ve değerlerini $resourceGroupName $storageAccountName değerlerinizle değiştirerek çıktıyı gözden geçirin:

    $resourceGroupName = "resource-group-name"
$storageAccountName = "storage-account-name"

(Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties

Önemli

Etki alanınız parola süresinin dolmasını zorunlu kılarsa, Azure dosya paylaşımlarına erişirken kimlik doğrulaması hatalarını önlemek için parolanın süresi dolmadan önce parolayı güncelleştirmeniz gerekir. Daha fazla bilgi için bkz . AD DS'de depolama hesabı kimliğinizin parolasını güncelleştirme.

Kullanıcılara RBAC rolü atama

Profillerini dosya paylaşımınızda depolaması gereken kullanıcıların erişim iznine sahip olması gerekir. Bunu yapmak için her kullanıcıya Depolama Dosyası Verileri SMB Paylaşımı Katkıda Bulunanı rolünü atamanız gerekir.

Kullanıcılara rolü atamak için:

  1. Azure portalından depolama hesabına ve ardından daha önce oluşturduğunuz dosya paylaşımına göz atın.

  2. Erişim denetimi (IAM) öğesini seçin.

  3. + Ekle'yi ve ardından açılan menüden Rol ataması ekle'yi seçin.

  4. Depolama Dosyası Verileri SMB Paylaşımı Katkıda Bulunanı rolünü seçin ve İleri'yi seçin.

  5. Üyeler sekmesinde Kullanıcı, grup veya hizmet sorumlusu'na ve ardından +Üye seç'e tıklayın. Arama çubuğunda, profil kapsayıcısını kullanacak kullanıcıları içeren güvenlik grubunu arayın ve seçin.

  6. Atamayı tamamlamak için Gözden geçir ve ata’yı seçin.

NTFS izinlerini ayarlama

Ardından, klasör üzerinde NTFS izinlerini ayarlamanız gerekir. Bu, Depolama hesabınızın erişim anahtarını almanız gerekir.

Depolama hesabı erişim anahtarını almak için:

  1. Azure portalında arama çubuğunda depolama hesabını arayın ve seçin.

  2. Depolama hesapları listesinden, kimlik kaynağı olarak Active Directory Etki Alanı Hizmetleri'ni veya Microsoft Entra Domain Services'i etkinleştirdiğiniz ve önceki bölümlerde için RBAC rolünü atadığınız hesabı seçin.

  3. Güvenlik + ağ altında Erişim anahtarları'nı seçin, ardından anahtarı göster ve anahtar1'den kopyala.

Klasörde doğru NTFS izinlerini ayarlamak için:

  1. Konak havuzunuzun parçası olan bir oturum ana bilgisayarında oturum açın.

  2. Yükseltilmiş bir PowerShell istemi açın ve depolama hesabını oturum konağınızda bir sürücü olarak eşlemek için aşağıdaki komutu çalıştırın. Eşlenen sürücü Dosya Gezgini gösterilmez, ancak komutuyla net use görüntülenebilir. Bu, paylaşımda izinleri ayarlayabilmeniz için yapılır.

    net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
    • yerine <desired-drive-letter> istediğiniz sürücü harfini yazın (örneğin, y:).
    • her iki örneğini <storage-account-name> de daha önce belirttiğiniz depolama hesabının adıyla değiştirin.
    • değerini daha önce oluşturduğunuz paylaşımın adıyla değiştirin <share-name> .
    • değerini Azure'dan depolama hesabı anahtarıyla değiştirin <storage-account-key> .

    Örneğin:

    net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile

  3. Paylaşımda Azure Sanal Masaüstü kullanıcılarınızın kendi profillerini oluşturmasına izin veren izinleri ayarlamak ve diğer kullanıcıların profillerine erişimi engellemek için aşağıdaki komutları çalıştırın. Profil kapsayıcısını kullanmak istediğiniz kullanıcıları içeren bir Active Directory güvenlik grubu kullanmalısınız. Aşağıdaki komutlarda değerini, sürücüyü eşlemek için kullandığınız sürücünün harfiyle ve <DOMAIN\GroupName> paylaşıma erişim gerektiren Active Directory grubunun etki alanı ve sAMAccountName ile değiştirin<mounted-drive-letter>. Ayrıca, bir kullanıcının kullanıcı asıl adını (UPN) belirtebilirsiniz.

    icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
icacls <mounted-drive-letter>: /remove "Authenticated Users"
icacls <mounted-drive-letter>: /remove "Builtin\Users"

    Örneğin:

    icacls y: /grant "CONTOSO\AVDUsers:(M)"
icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
icacls y: /remove "Authenticated Users"
icacls y: /remove "Builtin\Users"

Yerel Windows cihazınızı profil kapsayıcılarını kullanacak şekilde yapılandırma

Profil kapsayıcılarını kullanmak için cihazınızda FSLogix Uygulamalarının yüklü olduğundan emin olmanız gerekir. Azure Sanal Masaüstü'nü yapılandırıyorsanız, FSLogix Uygulamaları Windows 10 Enterprise çoklu oturum ve Windows 11 Enterprise çok oturumlu işletim sistemlerinde önceden yüklenmiştir, ancak en son sürüm yüklü olmadığından aşağıdaki adımları yine de izlemeniz gerekir. Özel görüntü kullanıyorsanız, görüntünüze FSLogix Uygulamaları yükleyebilirsiniz.

Profil kapsayıcılarını yapılandırmak için, tüm oturum konaklarınızda kayıt defteri anahtarlarını ve değerlerini uygun ölçekte ayarlamak için Grup İlkesi Tercihleri'ni kullanmanızı öneririz. Bunları özel görüntünüzde de ayarlayabilirsiniz.

Yerel Windows cihazınızı yapılandırmak için:

  1. FSLogix Uygulamalarını yüklemeniz veya güncelleştirmeniz gerekiyorsa, FSLogix'in en son sürümünü indirin ve komutunu çalıştırarak FSLogixAppsSetup.exeyükleyin ve ardından kurulum sihirbazındaki yönergeleri izleyin. Özelleştirmeler ve katılımsız yükleme de dahil olmak üzere yükleme işlemi hakkında daha fazla ayrıntı için bkz . FSLogix'i İndirme ve Yükleme.

  2. Yükseltilmiş bir PowerShell istemi açın ve öğesini daha önce oluşturduğunuz depolama hesabınızın UNC yoluyla değiştirerek \\<storage-account-name>.file.core.windows.net\<share-name> aşağıdaki komutları çalıştırın. Bu komutlar profil kapsayıcısını etkinleştirir ve paylaşımın konumunu yapılandırır.

    $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force

  3. Cihazınızı yeniden başlatın. Kalan tüm cihazlar için bu adımları tekrarlamanız gerekir.

Profil kapsayıcınızı ayarlama işlemini tamamladınız. Profil kapsayıcısını özel görüntünüze yüklüyorsanız özel görüntü oluşturmayı tamamlamanız gerekir. Daha fazla bilgi için Son anlık görüntüyü alma bölümündeki Azure'da özel görüntü oluşturma bölümündeki adımları izleyin.

Profil oluşturmayı doğrulama

Profil kapsayıcısını yükleyip yapılandırdıktan sonra, konak havuzunda uygulama grubu veya masaüstü atanmış bir kullanıcı hesabıyla oturum açarak dağıtımınızı test edebilirsiniz.

Kullanıcı daha önce oturum açtıysa, bu oturum sırasında kullanabilecekleri bir yerel profili olacaktır. Önce yerel profili silin veya testler için kullanılacak yeni bir kullanıcı hesabı oluşturun.

Kullanıcılar aşağıdaki adımları izleyerek profil kapsayıcısının ayarlandığını denetleyebiliyor:

  1. Azure Sanal Masaüstü'nde test kullanıcısı olarak oturum açın.

  2. Kullanıcı oturum açtığında, masaüstüne ulaşmadan önce "Lütfen FSLogix Uygulamaları Hizmetlerini bekleyin" iletisi oturum açma işleminin bir parçası olarak görünmelidir.

Yöneticiler aşağıdaki adımları izleyerek profil klasörünün oluşturulduğunu denetleyebiliyor:

  1. Azure portalı açın.

  2. Daha önce oluşturduğunuz depolama hesabını açın.

  3. Depolama hesabınızda Veri depolama'ya gidin ve Dosya paylaşımları'na tıklayın.

  4. Dosya paylaşımınızı açın ve oluşturduğunuz kullanıcı profili klasörünün orada olduğundan emin olun.