Preparare Active Directory per la distribuzione di Azure Stack HCI, versione 23H2

  • Articolo

Si applica a: Azure Stack HCI, versione 23H2

Questo articolo descrive come preparare l'ambiente Active Directory prima di distribuire Azure Stack HCI, versione 23H2.

I requisiti di Active Directory per Azure Stack HCI includono:

  • Unità organizzativa dedicata.
  • Ereditarietà dei criteri di gruppo bloccata per l'oggetto oggetto Criteri di gruppo applicabile.
  • Un account utente con tutti i diritti per l'unità organizzativa in Active Directory.

Nota

  • È possibile usare il processo esistente per soddisfare i requisiti precedenti. Lo script usato in questo articolo è facoltativo e viene fornito per semplificare la preparazione.
  • Quando l'ereditarietà dei criteri di gruppo viene bloccata a livello di unità organizzativa, gli oggetti Criteri di gruppo applicati non vengono bloccati. Assicurarsi che tutti gli oggetti Criteri di gruppo applicabili, applicati, vengano bloccati anche usando altri metodi, ad esempio usando filtri WMI o gruppi di sicurezza.

Prerequisiti

Prima di iniziare, assicurarsi di aver eseguito le operazioni seguenti:

  • Soddisfare i prerequisiti per le nuove distribuzioni di Azure Stack HCI.

  • Scaricare e installare il modulo versione 2402 dal PowerShell Gallery. Eseguire il comando seguente dalla cartella in cui si trova il modulo:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force

    Nota

    Assicurarsi di disinstallare le versioni precedenti del modulo prima di installare la nuova versione.

  • Sono state ottenute le autorizzazioni per creare un'unità organizzativa. Se non si dispone delle autorizzazioni, contattare l'amministratore di Active Directory.

Modulo di preparazione di Active Directory

Il modulo AsHciADArtifactsPreCreationTool.ps1 viene usato per preparare Active Directory. Ecco i parametri obbligatori associati al cmdlet:

Parametro Descrizione
-AzureStackLCMUserCredential Nuovo oggetto utente creato con le autorizzazioni appropriate per la distribuzione. Questo account corrisponde all'account utente usato dalla distribuzione di Azure Stack HCI.
Assicurarsi che venga specificato solo il nome utente. Il nome non deve includere il nome di dominio, contoso\usernamead esempio .
La password deve essere conforme ai requisiti di lunghezza e complessità. Usare una password lunga almeno 12 caratteri. La password deve contenere anche tre requisiti: un carattere minuscolo, un carattere maiuscolo, un numero e un carattere speciale.
Per altre informazioni, vedere Requisiti di complessità delle password.
Il nome può usare admin come nome utente.
-AsHciOUName Nuova unità organizzativa (OU) per archiviare tutti gli oggetti per la distribuzione di Azure Stack HCI. I criteri di gruppo e l'ereditarietà esistenti vengono bloccati in questa unità organizzativa per garantire che non vi sia alcun conflitto di impostazioni. L'unità organizzativa deve essere specificata come nome distinto (DN). Per altre informazioni, vedere il formato dei nomi distinti.

Nota

  • Il -AsHciOUName percorso non supporta i caratteri speciali seguenti all'interno del percorso - &,”,’,<,>.
  • Anche lo spostamento degli oggetti computer in un'unità organizzativa diversa dopo il completamento della distribuzione non è supportato.

Preparare Active Directory

Quando si prepara Active Directory, si crea un'unità organizzativa dedicata per inserire gli oggetti correlati ad Azure Stack HCI, ad esempio l'utente della distribuzione.

Per creare un'unità organizzativa dedicata, seguire questa procedura:

  1. Accedere a un computer aggiunto al dominio di Active Directory.

  2. Eseguire PowerShell come amministratore.

  3. Eseguire il comando seguente per creare l'unità organizzativa dedicata.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Quando richiesto, specificare il nome utente e la password per la distribuzione.

    1. Assicurarsi che venga specificato solo il nome utente. Il nome non deve includere il nome di dominio, contoso\usernamead esempio . Il nome utente deve essere compreso tra 1 e 64 caratteri e contenere solo lettere, numeri, trattini e caratteri di sottolineatura e potrebbe non iniziare con un trattino o un numero.
    2. Assicurarsi che la password soddisfi i requisiti di complessità e lunghezza. Usare una password lunga almeno 12 caratteri e contiene: un carattere minuscolo, un carattere maiuscolo, un numero e un carattere speciale.

    Di seguito è riportato un output di esempio di completamento dello script:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Verificare che l'unità organizzativa sia stata creata. Se si usa un client Windows Server, passare a Server Manager > Strumenti > Utenti e computer di Active Directory.

  6. Verrà creata un'unità organizzativa con il nome specificato e all'interno dell'unità organizzativa verrà visualizzato l'utente della distribuzione.

    Screenshot della finestra Computer e utenti di Active Directory.

Nota

Se si ripristina un singolo server, non eliminare l'unità organizzativa esistente. Se i volumi del server sono crittografati, l'eliminazione dell'unità organizzativa rimuove le chiavi di ripristino di BitLocker.

Passaggi successivi