Aktualizace hesla identity účtu úložiště ve službě AD DS
Pokud jste zaregistrovali identitu nebo účet služby Doména služby Active Directory Services (AD DS), který představuje váš účet úložiště v organizační jednotce nebo doméně, která vynucuje dobu vypršení platnosti hesla, musíte heslo změnit před maximálním stářím hesla. Vaše organizace může spouštět automatizované skripty čištění, které odstraní účty, jakmile vyprší platnost hesla. Pokud kvůli tomu heslo ještě před vypršením platnosti nezměníte, můžete svůj účet odstranit, což způsobí ztrátu přístupu ke sdíleným složkám Azure.
Abyste zabránili nezamýšlené obměně hesel, nezapomeňte během onboardingu účtu úložiště Azure v doméně umístit účet úložiště Azure do samostatné organizační jednotky ve službě AD DS. Zakažte dědičnost zásad skupiny v této organizační jednotce, abyste zabránili použití výchozích zásad domény nebo konkrétních zásad hesel.
Poznámka:
Identita účtu úložiště ve službě AD DS může být buď účet služby, nebo účet počítače. Platnost hesel účtu služby může vypršet ve službě Active Directory (AD); Vzhledem k tomu, že změny hesla účtu počítače jsou řízeny klientským počítačem, a ne AD, nevyprší platnost v AD.
Existují dvě možnosti aktivace obměny hesel. Můžete použít AzFilesHybrid modul nebo Active Directory PowerShell. Použijte jednu metodu, ne obě.
Platí pro
| Typ sdílené složky | SMB | NFS |
|---|---|---|
| Sdílené složky úrovně Standard (GPv2), LRS/ZRS |  |
 |
| Sdílené složky úrovně Standard (GPv2), GRS/GZRS | |
|
| Sdílené složky úrovně Premium (FileStorage), LRS/ZRS | |
|
Možnost 1: Použití modulu AzFilesHybrid
Rutinu Update-AzStorageAccountADObjectPasswordmůžete spustit z modulu AzFilesHybrid. Tento příkaz musíte spustit v místním prostředí připojeném službou AD DS hybridní identitou s oprávněním vlastníka k účtu úložiště a oprávnění služby AD DS ke změně hesla identity představující účet úložiště. Tato rutina provede podobné akce jako při obměně klíčů účtu úložiště. Získá druhý klíč Kerberos účtu úložiště a použije ho k aktualizaci hesla registrovaného účtu v AD. Pak znovu vygeneruje cílový klíč Kerberos účtu úložiště a aktualizuje heslo registrovaného účtu v AD.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
Tato akce změní heslo pro objekt AD z kerb1 na kerb2. Má se jednat o dvoufázový proces: Obměnit z kerb1 na kerb2(před nastavením se v účtu úložiště vygeneruje kerb2), několik hodin počkat a pak obměnit zpět na Kerb1 (tato rutina také vygeneruje kerb1).
Možnost 2: Použití Prostředí Active Directory PowerShell
Pokud si modul nechcete stáhnout AzFilesHybrid , můžete použít Active Directory PowerShell.
Důležité
Rutiny prostředí Windows Server Active Directory PowerShell v této části musí být spuštěny v prostředí Windows PowerShell 5.1 se zvýšenými oprávněními. PowerShell 7.x a Azure Cloud Shell v tomto scénáři nebudou fungovat.
Nahraďte <domain-object-identity> následující skript hodnotou a pak spusťte skript pro aktualizaci hesla objektu domény:
$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword