Aggiornare la password dell'identità dell'account di archiviazione in Active Directory Domain Services
Se è stata registrata l'identità/l'account di Active Directory Domain Services (AD DS) che rappresenta l'account di archiviazione in un'unità organizzativa o un dominio che impone la scadenza della password, è necessario modificare la password prima dell'età massima della password. L'organizzazione può eseguire script di pulizia automatizzati che eliminano gli account dopo la scadenza della password. A causa di questo, se non si modifica la password prima della scadenza, l'account potrebbe essere eliminato, che causerà la perdita dell'accesso alle condivisioni file di Azure.
Per impedire la rotazione delle password non prevista, durante l'onboarding dell'account di archiviazione di Azure nel dominio, assicurarsi di inserire l'account di archiviazione di Azure in un'unità organizzativa separata in Active Directory Domain Services. Disabilitare Criteri di gruppo ereditarietà in questa unità organizzativa per impedire l'applicazione di criteri di dominio predefiniti o criteri di password specifici.
Nota
Un'identità dell'account di archiviazione in Active Directory Domain Services può essere un account del servizio o un account computer. Le password dell'account di servizio possono scadere in AD; tuttavia, poiché le modifiche apportate alla password dell'account computer vengono guidate dal computer client e non da AD, non scadono in AD.
Esistono due opzioni per attivare la rotazione delle password. È possibile usare il AzFilesHybrid modulo o Active Directory PowerShell. Usare un metodo, non entrambi.
Si applica a
| Tipo di condivisione file | SMB | NFS |
|---|---|---|
| Condivisioni file Standard (GPv2), archiviazione con ridondanza locale/archiviazione con ridondanza della zona |  |
 |
| Condivisioni file Standard (GPv2), archiviazione con ridondanza geografica/archiviazione con ridondanza geografica della zona | |
|
| Condivisioni file Premium (FileStorage), archiviazione con ridondanza locale/archiviazione con ridondanza della zona | |
|
Usare il modulo AzFilesHybrid
È possibile eseguire il Update-AzStorageAccountADObjectPassword cmdlet dal modulo AzFilesHybrid. Questo comando deve essere eseguito in un ambiente aggiunto ad Active Directory Domain Services locale da un'identità ibrida con l'autorizzazione proprietario per l'account di archiviazione e le autorizzazioni di Active Directory Domain Services per modificare la password dell'identità che rappresenta l'account di archiviazione. Il comando esegue azioni simili alla rotazione delle chiavi dell'account di archiviazione. In particolare, ottiene la seconda chiave Kerberos dell'account di archiviazione e la usa per aggiornare la password dell'account registrato in Active Directory Domain Services. Rigenera quindi la chiave Kerberos di destinazione dell'account di archiviazione e aggiorna la password dell'account registrato in Active Directory Domain Services.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
Questa azione cambierà la password per l'oggetto AD da kerb1 a kerb2. Si tratta di un processo a due fasi: ruotare da kerb1 a kerb2 (kerb2 verrà rigenerato nell'account di archiviazione prima di essere impostato), attendere diverse ore e quindi ruotare indietro a kerb1 (questo cmdlet rigenera analogamente kerb1).
Usare PowerShell di Active Directory
Se non si vuole scaricare il AzFilesHybrid modulo, è possibile usare Active Directory PowerShell.
Importante
I cmdlet di PowerShell Windows Server Active Directory in questa sezione devono essere eseguiti in Windows PowerShell 5.1 con privilegi elevati. PowerShell 7.x e Azure Cloud Shell non funzioneranno in questo scenario.
Sostituire <domain-object-identity> nello script seguente con il valore, quindi eseguire lo script per aggiornare la password dell'oggetto di dominio:
$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword