跳过主要内容

领域

许多企业和组织都依靠Microsoft Active Directory(AD)来提供用户帐户,将安全策略应用于操作系统以及启用应用程序的访问。在经典的本地环境中,Windows操作系统被“连接到(AD)域”,以实现这些功能。框架允许管理员将其工作负载VM连接到其Active Directory域。这使他们的用户可以使用自己的AD凭据登录到Windows计算机。由于Windows操作系统已连接到客户的域,因此用户可以使用依靠广告访问,身份验证和授权的Windows应用程序,例如SAP应用程序。如果IT经理将沙箱加入到域,他们可以使用现有的应用程序包,应用程序工具和部署流程来安装,运行和管理其组织的应用程序。

域加入实例

使用域Join功能,需要使用您自己的公共云帐户或AHV群集,其中将通过框架平台为Windows机器提供和精心策划。这被称为“带来自己的(BYO)基础架构”功能。在配置域用于与帧一起使用之前,您需要如前所述设置BYO基础架构BYO基础架构我们的文档部分。

框架文档的这一部分将概述为您的框架帐户准备和实施域加入实例(DJI)所需的步骤。在阅读下面的指南之前,请查看域的要求和建议,以在您的框架帐户上正常运行。

要求

  • 框架帐户Windows 10,,,,Windows Server 2016, 要么Windows Server 2019的图像
  • 域连接功能需要客户使用Windows Server 2008 R2域功能水平2008 R2或更高。
  • 框架帐户的工作负载必须驻留在带有网络其余部分的非重叠CIDR的VPC/VNET/VLAN中,包括Windows域控制器居住的位置。目前,框架仅支持在/16/24
  • 要连接到域的工作负载VM必须能够路由到域控制器。
  • 使用AWS基础架构的客户必须在启用DJI之前更新其AWS IAM角色(如下所述指南中所述)。
  • 使用Azure基础架构的客户必须在启用DJI之前配置其Azure DNS(如下所述指南中所述)。

考虑因素

在转到域控制器准备指南和设置过程之前,请考虑以下内容:

  • 帧创建的框架用户必须是本地Windows管理员。任何在工作负载实例上生效的GPO设置都不得从“本地管理员”组中删除此用户。
  • 必须允许Autologin进行本地框架用户会话成功启动。任何禁用此功能的GPO设置都将阻止域连接实例正常工作。
  • 交互式登录消息必须在GPO设置中禁用,以成功启动框架会话。
  • 域连接功能不会将沙箱或任何实用程序服务器连接到域。框架强烈建议管理员不要手动将沙箱或公用事业服务器连接到域,除非有特定的应用程序的功能要求。如果必须将这两种VM类型中的任何一个连接到域,则帧管理员应启用RDP并在该服务器中创建另一个本地Windows Admin用户。在将服务器连接到域之前,管理员应验证他们可以使用RDP到达服务器。
  • 请勿修改框架用户本地管理员帐户密码。修改密码将导致自动酮失败。对于诸如LAPS之类的密码安全选项,需要排除本地帧用户。
  • 不支持静态DNS IP,不应在沙箱或工作负载VM中输入。
  • 仅将远程RPC连接到域控制器上的Windows安全帐户管理器(SAM)仅限为管理员,可能会引入在Active Directory中重命名计算机对象的问题。如果配置此策略,将忽略授予服务帐户的权利
  • 本地框架用户密码存储在机器注册表的LSA(本地安全管理机构)部分中,该部分仅可用于系统帐户进程。其中一些秘密是重新启动后必须持续存在的凭证,并且它们以加密形式存储在硬盘驱动器上。存储为LSA秘密的证书可能包括:
    • 本地框架用户密码
    • 网络代理的服务帐户名称和密码
Baidu