Cloud Assembly unterstützt die Integration mit Active Directory-Servern, um die sofortige Erstellung von Computerkonten in einer bestimmten Organisationseinheit (OE) innerhalb eines Active Directory-Servers vor der Bereitstellung einer virtuellen Maschine zu ermöglichen. Active Directory unterstützt eine LDAP-Verbindung zum Active Directory-Server.
Eine Active Directory-Richtlinie, die mit einem Projekt verknüpft ist, wird auf alle virtuellen Maschinen angewendet, die im Geltungsbereich dieses Projekts bereitgestellt werden. Benutzer können ein oder mehrere Tags zur selektiven Anwendung der Richtlinie auf virtuelle Maschinen festlegen, die in den Cloud-Zonen mit übereinstimmenden Funktions-Tags bereitgestellt werden.
WORKSTATION_TRUST_ACCOUNT 0x1000 PASSWD_NOTREQD (No password is required) 0x0020
Für lokale Bereitstellungen ermöglicht die Active Directory-Integration die Einrichtung einer Integritätsüberprüfung, die den Status der Integration und der zugrunde liegenden ABX-Integration anzeigt, auf die diese sich stützt, einschließlich des erforderlichen Erweiterbarkeits-Cloud-Proxy. Bevor Sie eine Active Directory-Richtlinie anwenden, prüft Cloud Assembly den Status der zugrunde liegenden Integrationen. Wenn die Integration fehlerfrei ist, erstellt Cloud Assembly die bereitgestellten Computerobjekte im angegebenen Active Directory. Wenn die Integration fehlerhaft ist, überspringt der Bereitstellungsvorgang die Active Directory-Phase während der Bereitstellung.
Voraussetzungen
- Die Active Directory-Integration erfordert eine LDAP-Verbindung zum Active Directory-Server.
- Wenn Sie eine Active Directory-Integration mit einem vCenter lokal konfigurieren, müssen Sie eine ABX-Integration mit einem Erweiterbarkeits-Cloud-Proxy konfigurieren. Wählen Sie und anschließend Lokale Erweiterbarkeitsaktionen aus.
- Wenn Sie eine Integration mit Active Directory in der Cloud konfigurieren, müssen Sie über ein Microsoft Azure- oder Amazon Web Services-Konto verfügen.
- Sie müssen über ein mit den entsprechenden Cloud-Zonen konfiguriertes Projekt sowie über Image- und Typzuordnungen für die Verwendung mit der Active Directory-Integration verfügen.
- Die gewünschte OE in Ihrem Active Directory muss vorab erstellt werden, bevor Sie Ihre Active Directory-Integration mit einem Projekt verknüpfen.
- Der für die Active Directory-Integration konfigurierte Benutzer muss über Berechtigungen zum Erstellen/Löschen/Suchen von Computerobjekten in der konfigurierten Organisationseinheit verfügen.
Prozedur
Ergebnisse
Sie können das Projekt nun mit Active Directory-Integration mit einer Cloud-Vorlage verknüpfen. Wenn eine Maschine mithilfe dieser Cloud-Vorlage bereitgestellt wird, wird sie im angegebenen Active Directory und in der angegebenen Organisationseinheit vorab bereitgestellt.
Zunächst werden Active Directory-Integrationen in einer Standard-OE mit geringen Benutzereinschränkungen bereitgestellt. Die Organisationseinheit ist standardmäßig festgelegt, wenn Sie einem Projekt eine Active Directory-Integration zuordnen. Sie können Blueprints eine Eigenschaft mit dem Namen FinalRelativeDN
hinzufügen, um die Organisationseinheit für Active Directory-Bereitstellungen zu ändern. Mithilfe dieser Eigenschaft können Sie die Organisationseinheit angeben, die mit einer Active Directory-Bereitstellung verwendet werden soll.
formatVersion: 1 inputs: {} resources: Cloud_vSphere_Machine_1: type: Cloud.vSphere.Machine properties: image: CenOS8 flavor: tiny activeDirectory: finalRelativeDN: ou=test securityGroup: TestSecurityGroup
Wie im vorherigen YAML-Beispiel gezeigt, können Benutzer einer Active Directory-Integrationsbereitstellung eine Eigenschaft hinzufügen, die der Sicherheitsgruppe ein Computerkonto hinzufügt, sodass entsprechende Berechtigungen für den Zugriff auf die gemeinsam genutzte Ressource über ein Netzwerk zugewiesen werden. Die virtuelle Active Directory-Maschine wird anfänglich in einer festen Organisationseinheit bereitgestellt. Sobald die Maschine jedoch freigegeben werden kann, wird sie in eine andere Organisationseinheit mit der entsprechenden Richtlinie für Benutzer verschoben.
Wenn ein Computerkonto nach der Bereitstellung in eine andere Organisationseinheit verschoben wird, versucht Cloud Assembly, die Konten in der anfänglichen Organisationseinheit zu löschen. Computerkonten können nur dann erfolgreich gelöscht werden, wenn virtuelle Maschinen in eine andere Organisationseinheit innerhalb derselben Domäne verschoben werden.
Sie können auch eine Tag-basierte Integritätsprüfung für lokale Active Directory-Integrationen wie folgt implementieren.
- Erstellen Sie eine Active Directory-Integration, wie in den vorhergehenden Schritten beschrieben.
- Klicken Sie auf die Registerkarte Projekt, um der Active Directory-Integration ein Projekt hinzuzufügen.
- Wählen Sie im Dialogfeld „Projekte hinzufügen“ einen Projektnamen und einen relativen DN aus. Der relative DN muss innerhalb des angegebenen Basis-DN vorhanden sein.
Dieses Dialogfeld enthält zwei Switches, mit denen Sie die Active Directory-Konfiguration von Cloud-Vorlagen aus steuern können. Beide Switches sind standardmäßig deaktiviert.
- Außerkraftsetzen – Mit diesem Switch können Sie Active Directory-Eigenschaften außer Kraft setzen, insbesondere den relativen DN in Cloud-Vorlagen. Wenn diese Option aktiviert ist, können Sie die in der Eigenschaft
relativeDN
angegebene Organisationseinheit in der Cloud-Vorlage ändern. Bei der Bereitstellung wird die Maschine zu der in der EigenschaftrelativeDN
angegebenen Organisationseinheit in der Cloud-Vorlage hinzugefügt. Das folgende Beispiel zeigt die Hierarchie der Cloud-Vorlagen, in der diese Eigenschaft angezeigt wird.activeDirectory: relativeDN: OU=ad_integration_machine_override
- Ignorieren – Mit diesem Switch können Sie die Active Directory-Konfiguration für das Projekt ignorieren. Wenn diese Option aktiviert ist, wird die Eigenschaft der Cloud-Vorlage namens
ignoreActiveDirectory
für die zugeordnete virtuelle Maschine hinzugefügt. Wenn diese Eigenschaft auf „true“ festgelegt ist, bedeutet dies, dass die Maschine bei der Bereitstellung nicht zu Active Directory hinzugefügt wird.
- Außerkraftsetzen – Mit diesem Switch können Sie Active Directory-Eigenschaften außer Kraft setzen, insbesondere den relativen DN in Cloud-Vorlagen. Wenn diese Option aktiviert ist, können Sie die in der Eigenschaft
- Fügen Sie entsprechende Tags hinzu. Diese Tags gelten für die Cloud-Zone, auf die die Active Directory-Richtlinie angewendet werden kann.
- Klicken Sie auf „Speichern“.
Der Status der Active Directory-Integration wird für jede Integration auf der SeiteCloud Assembly angezeigt.
inSie können das Projekt mit Active Directory-Integration mit einer Cloud-Vorlage verknüpfen. Wenn eine Maschine mithilfe dieser Vorlage bereitgestellt wird, wird sie im angegebenen Active Directory und in der angegebenen Organisationseinheit vorab bereitgestellt.