领域
许多企业和组织都依靠Microsoft Active Directory(AD)来提供用户帐户,将安全策略应用于操作系统以及启用应用程序的访问。在经典的本地环境中,Windows操作系统被“连接到(AD)域”,以实现这些功能。框架允许管理员将其工作负载VM连接到其Active Directory域。这使他们的用户可以使用自己的AD凭据登录到Windows计算机。由于Windows操作系统已连接到客户的域,因此用户可以使用依靠广告访问,身份验证和授权的Windows应用程序,例如SAP应用程序。如果IT经理将沙箱加入到域,他们可以使用现有的应用程序包,应用程序工具和部署流程来安装,运行和管理其组织的应用程序。
域加入实例
使用域Join功能,需要使用您自己的公共云帐户或AHV群集,其中将通过框架平台为Windows机器提供和精心策划。这被称为“带来自己的(BYO)基础架构”功能。在配置域用于与帧一起使用之前,您需要如前所述设置BYO基础架构BYO基础架构我们的文档部分。
框架文档的这一部分将概述为您的框架帐户准备和实施域加入实例(DJI)所需的步骤。在阅读下面的指南之前,请查看域的要求和建议,以在您的框架帐户上正常运行。
要求
- 框架帐户Windows 10,,,,Windows Server 2016, 要么Windows Server 2019的图像。
- 域连接功能需要客户使用Windows Server 2008 R2和域功能水平2008 R2或更高。
- 框架帐户的工作负载必须驻留在带有网络其余部分的非重叠CIDR的VPC/VNET/VLAN中,包括Windows域控制器居住的位置。目前,框架仅支持在
/16
和/24
。 - 要连接到域的工作负载VM必须能够路由到域控制器。
- 使用AWS基础架构的客户必须在启用DJI之前更新其AWS IAM角色(如下所述指南中所述)。
- 使用Azure基础架构的客户必须在启用DJI之前配置其Azure DNS(如下所述指南中所述)。
考虑因素
在转到域控制器准备指南和设置过程之前,请考虑以下内容:
- 帧创建的框架用户必须是本地Windows管理员。任何在工作负载实例上生效的GPO设置都不得从“本地管理员”组中删除此用户。
- 必须允许Autologin进行本地框架用户会话成功启动。任何禁用此功能的GPO设置都将阻止域连接实例正常工作。
- 交互式登录消息必须在GPO设置中禁用,以成功启动框架会话。
- 域连接功能不会将沙箱或任何实用程序服务器连接到域。框架强烈建议管理员不要手动将沙箱或公用事业服务器连接到域,除非有特定的应用程序的功能要求。如果必须将这两种VM类型中的任何一个连接到域,则帧管理员应启用RDP并在该服务器中创建另一个本地Windows Admin用户。在将服务器连接到域之前,管理员应验证他们可以使用RDP到达服务器。
- 请勿修改框架用户本地管理员帐户密码。修改密码将导致自动酮失败。对于诸如LAPS之类的密码安全选项,需要排除本地帧用户。
- 不支持静态DNS IP,不应在沙箱或工作负载VM中输入。
- 仅将远程RPC连接到域控制器上的Windows安全帐户管理器(SAM)仅限为管理员,可能会引入在Active Directory中重命名计算机对象的问题。如果配置此策略,将忽略授予服务帐户的权利
- 本地框架用户密码存储在机器注册表的LSA(本地安全管理机构)部分中,该部分仅可用于系统帐户进程。其中一些秘密是重新启动后必须持续存在的凭证,并且它们以加密形式存储在硬盘驱动器上。存储为LSA秘密的证书可能包括:
- 本地框架用户密码
- 网络代理的服务帐户名称和密码
️ 域控制器准备
本指南概述了准备域控制器以供与框架平台一起使用所需的步骤。
️ AWS IAM许可
具有AWS基础架构的客户应使用本指南来正确配置其Active Directory域,以与框架平台一起使用。
️ Azure DNS配置
具有Azure基础架构的客户应使用本指南来正确配置其Active Directory域,以与框架平台一起使用。
️ 陈旧广告对象清理
本指南介绍了管理员如何使用脚本从其域中删除过时的广告对象。