Atualizar a senha da identidade da sua conta de armazenamento no AD DS
Se você registrou a identidade/conta do AD DS (Active Directory Domain Services) que representa sua conta de armazenamento em uma unidade organizacional ou um domínio que impõe tempo de expiração de senha, você deve alterar a senha antes da duração máxima da senha. Sua organização pode executar scripts de limpeza automatizados que excluem contas quando a senha expirar. Por isso, se você não alterar sua senha antes dela expirar, a conta poderá ser excluída, o que fará com que você perca o acesso aos compartilhamentos de arquivos do Azure.
Para evitar a rotação de senha acidental, durante a integração da conta do Armazenamento do Microsoft Azure no domínio, coloque a conta de armazenamento do Azure em uma unidade organizacional separada no AD DS. Desabilite a herança da Política de Grupo nessa unidade organizacional para impedir que políticas de domínio padrão ou políticas de senha específicas sejam aplicadas.
Observação
Uma identidade de conta de armazenamento no AD DS pode ser uma conta de serviço ou uma conta de computador. As senhas da conta de serviço podem expirar no AD. No entanto, como as alterações de senha da conta de computador são controladas pelo computador cliente e não pelo AD, elas não expiram no AD.
Há duas opções para disparar a rotação de senha. Você pode usar o módulo AzFilesHybrid ou o Active Directory PowerShell. Use um método, não ambos.
Aplica-se a
| Tipo de compartilhamento de arquivos | SMB | NFS |
|---|---|---|
| Compartilhamentos de arquivos padrão (GPv2), LRS/ZRS |  |
 |
| Compartilhamentos de arquivos padrão (GPv2), GRS/GZRS | |
|
| Compartilhamento de arquivos premium (FileStorage), LRS/ZRS | |
|
Usar o módulo AzFilesHybrid
Você pode executar o cmdlet Update-AzStorageAccountADObjectPassword no módulo AzFilesHybrid. Esse comando deve ser executado em um ambiente ingressado no AD DS local por uma identidade híbrida com permissão de proprietário para a conta de armazenamento e permissões do AD DS para alterar a senha da identidade que representa a conta de armazenamento. O comando executa ações semelhantes à rotação de chaves de conta de armazenamento. Especificamente, ele obtém a segunda chave Kerberos da conta de armazenamento e a usa para atualizar a senha da conta registrada no AD DS. Em seguida, ele regenera a chave Kerberos desejada da conta de armazenamento e atualiza a senha da conta registrada no AD DS.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
Essa ação alterará a senha do objeto do AD de kerb1 para kerb2. Isso se destina a ser um processo de dois estágios: girar de kerb1 para kerb2 (kerb2 será regenerada na conta de armazenamento antes de ser definida), aguardar várias horas e, em seguida, girar de volta para kerb1 (este cmdlet também regenerará kerb1).
Usar o Active Directory PowerShell
Se você não quiser baixar o módulo AzFilesHybrid, poderá usar o Active Directory PowerShell.
Importante
Os cmdlets do PowerShell do Windows Server Active Directory nesta seção devem ser executados no Windows PowerShell 5.1 com privilégios elevados. O PowerShell 7.x e o Azure Cloud Shell não funcionarão nesse cenário.
No seguinte script, substitua <domain-object-identity> pelo seu valor e execute o script para atualizar a senha do objeto de domínio:
$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword