域加入实例¶
许多企业和组织都依靠Microsoft Active Directory(AD)来提供用户帐户,将安全策略应用于操作系统以及启用应用程序的访问。在经典的本地环境中,Windows操作系统被“连接到(AD)域”,以实现这些功能。框架允许管理员将其工作负载VM连接到其Active Directory域。这使他们的用户可以使用自己的AD凭据登录到Windows计算机。由于Windows操作系统已连接到客户的域,因此用户可以使用依靠广告访问,身份验证和授权的Windows应用程序,例如SAP应用程序。如果IT经理将沙箱加入到域,他们可以使用现有的应用程序包,应用程序工具和部署流程来安装,运行和管理其组织的应用程序。
要使用域Join功能,您将需要使用自己的公共云帐户或携带自己的AHV群集,这些Windows机器将由框架平台配置和精心策划。这称为我们带您自己的(BYO)基础架构功能。在继续此设置指南之前,您需要设置这些文章中描述的BYO基础架构:byo aws,,,,byo azure,,,,BYO GCP, 或者AHV上的框架。
框架文档的这一部分将概述为您的框架帐户准备和实施域加入实例(DJI)所需的步骤。在阅读下面的指南之前,请查看域的要求和建议,以在您的框架帐户上正常运行。
- 要求:
-
带有Windows 10,Windows Server 2016或Windows Server 2019的图像的框架帐户。
域连接功能要求客户使用Windows Server 2008 R2和域功能水平2008 R2或更高。
框架帐户的工作负载必须驻留在带有网络其余部分的非重叠CIDR的VPC/VNET/VLAN中,包括Windows域控制器居住的位置。当前,框架仅支持 /16和 /24之间的子网罩。
要连接到域的工作负载VM必须能够路由到域控制器。
对于使用AWS的客户,他们必须在启用DJI之前更新其AWS IAM角色。
对于使用Azure的客户,他们必须在启用DJI之前配置Azure DNS。
注意事项:
由帧创建的框架用户必须成为本地Windows管理员。任何在工作负载实例上生效的GPO设置禁止从“本地管理员”组中删除此用户。
自动登录必须允许对于本地帧用户会话,可以成功启动。任何禁用此功能的GPO设置都将阻止域连接实例正常工作。
交互式登录消息必须禁用在GPO设置中成功启动框架会话。
域连接功能不会将沙箱或任何实用程序服务器连接到域。框架强烈建议管理员不要除非有特定要求的应用程序,否则手动将沙箱或实用程序服务器连接到域。如果必须将这两种VM类型中的任何一个连接到域,则帧管理员应启用RDP并在该服务器中创建另一个本地Windows Admin用户。在将服务器连接到域之前,管理员应验证他们可以使用RDP到达服务器。
请勿修改框架用户本地管理员帐户密码。我们旋转框架用户的密码(框架访客代理),并修改它将导致自动神经失败。对于诸如LAPS之类的密码安全选项,需要排除本地帧用户。
静态DNS IP不是支持,不应输入沙箱或工作负载VM。
仅将远程RPC连接到域控制器上的Windows安全帐户管理器(SAM)仅限为管理员,可能会引入在Active Directory中重命名计算机对象的问题。如果配置此策略,将忽略授予服务帐户的权利
本地框架用户密码存储在机器注册表的LSA(本地安全管理机构)部分中,该部分仅可用于系统帐户进程。其中一些秘密是重新启动后必须持续存在的凭证,并且它们以加密形式存储在硬盘驱动器上。存储为LSA秘密的证书可能包括:
本地框架用户密码
网络代理的服务帐户名称和密码