Memperbarui kata sandi identitas akun penyimpanan Anda di AD DS
Jika Anda mendaftarkan identitas/akun Active Directory Domain Services (AD DS), yang mewakili akun penyimpanan Anda di unit organisasi atau domain yang memberlakukan waktu kedaluwarsa kata sandi, Anda harus mengubah kata sandi sebelum masa berlaku maksimum kata sandi. Organisasi Anda dapat menjalankan skrip pembersihan otomatis yang menghapus akun setelah kata sandinya kedaluwarsa. Oleh karena itu, jika Anda tidak mengubah kata sandi sebelum kedaluwarsa, akun Anda dapat dihapus, yang akan menyebabkan Anda kehilangan akses ke file yang dibagikan Azure.
Untuk mencegah rotasi kata sandi yang tidak diinginkan, selama orientasi akun penyimpanan Azure di domain, pastikan untuk menempatkan akun penyimpanan Azure ke unit organisasi terpisah di AD DS. Nonaktifkan pewarisan Kebijakan Grup pada unit organisasi ini untuk mencegah kebijakan domain default atau kebijakan kata sandi tertentu diterapkan.
Catatan
Identitas akun penyimpanan di AD DS dapat berupa akun layanan atau akun komputer. Kata sandi akun layanan dapat kedaluwarsa di Direktori Aktif (AD); namun, karena perubahan kata sandi akun komputer didorong oleh komputer klien dan bukan AD, mereka tidak kedaluwarsa di AD.
Ada dua opsi untuk memicu rotasi kata sandi. Anda dapat menggunakan AzFilesHybrid modul atau Active Directory PowerShell. Gunakan salah satu cara, bukan keduanya.
Berlaku untuk
| Jenis berbagi File | SMB | NFS |
|---|---|---|
| Berbagi file standar (GPv2), LRS/ZRS |  |
 |
| Berbagi file standar (GPv2), GRS/GZRS | |
|
| Berbagi file premium (FileStorage), LRS/ZRS | |
|
Opsi 1: Gunakan modul AzFilesHybrid
Anda dapat menjalankan Update-AzStorageAccountADObjectPassword cmdlet dari modul AzFilesHybrid. Anda harus menjalankan perintah ini di lingkungan yang bergabung dengan AD DS lokal oleh identitas hibrid dengan izin pemilik ke akun penyimpanan dan izin AD DS untuk mengubah kata sandi identitas yang mewakili akun penyimpanan. Perintah melakukan tindakan yang mirip dengan rotasi kunci akun penyimpanan. Secara khusus, ini mendapatkan kunci Kerberos kedua dari akun penyimpanan dan menggunakannya untuk memperbarui kata sandi akun terdaftar di AD DS. Kemudian ini akan meregenerasi kunci Kerberos target dari akun penyimpanan dan memperbarui kata sandi akun terdaftar di AD DS.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
Tindakan ini akan mengubah kata sandi untuk objek AD dari kerb1 menjadi kerb2. Ini dimaksudkan sebagai proses dua tahap: putar dari kerb1 ke kerb2 (kerb2 akan diregenerasi pada akun penyimpanan sebelum diatur), tunggu beberapa jam, lalu putar kembali ke kerb1 (cmdlet ini juga akan meregenerasi kerb1).
Opsi 2: Gunakan Active Directory PowerShell
Jika Anda tidak ingin mengunduh AzFilesHybrid modul, Anda dapat menggunakan Active Directory PowerShell.
Penting
Cmdlet PowerShell Windows Server Active Directory di bagian ini harus dijalankan di Windows PowerShell 5.1 dengan hak istimewa yang ditingkatkan. PowerShell 7.x dan Azure Cloud Shell tidak akan berfungsi dalam skenario ini.
Ganti dalam skrip berikut dengan nilai Anda, lalu jalankan <domain-object-identity> skrip untuk memperbarui kata sandi objek domain Anda:
$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword