使用组策略大规模连接计算机
可以使用组策略大规模地将已加入 Active Directory 的 Windows 计算机加入到已启用 Azure Arc 的服务器。
首先需要设置带有 Connected Machine Agent 的本地远程共享,并修改一个脚本,该脚本指定已启用 Arc 的服务器在 Azure 中的登陆区域。 然后,你将运行一个脚本,该脚本生成一个组策略对象 (GPO),以便将一组计算机加入到已启用 Azure Arc 的服务器。 此组策略对象可以应用于站点、域或组织级别。 分配还可以使用组策略原生的访问控制列表 (ACL) 和其他安全筛选。 组策略范围内的计算机将加入到已启用 Azure Arc 的服务器。 将 GPO 范围限定为仅包括要加入 Azure Arc 的计算机。
在开始之前,请务必查看先决条件,并验证你的订阅和资源是否符合要求。 有关支持的区域和其他相关注意事项的信息,请参阅支持的 Azure 区域。 另请查看我们的《大规模规划指南》,以了解设计和部署标准,以及我们的管理和监视建议。
如果没有 Azure 订阅,请在开始前创建一个试用版订阅。
准备远程共享并创建服务主体
用于加入已启用 Azure Arc 的服务器的组策略对象需要与 Connected Machine Agent 的远程共享。 需执行以下操作:
准备远程共享以托管用于 Windows 的 Azure Connected Machine 代理包和配置文件。 需要能够将文件添加到分布式位置。 网络共享应为域控制器和域计算机提供更改权限,为域管理员提供完全控制权限。
按照步骤为大规模加入创建服务主体。
- 将“Azure Connected Machine 加入”角色分配给服务主体,并将该角色的作用域限制为目标 Azure 登陆区域。
- 记下服务主体密钥;稍后需要用到此值。
从 https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/ 下载 ArcEnabledServersGroupPolicy_vX.X.X 文件夹并将其解压缩。 此文件夹包含具有脚本
EnableAzureArc.ps1
、DeployGPO.ps1
和AzureArcDeployment.psm1
的 ArcGPO 项目结构。 将使用这些资产将计算机加入已启用 Azure Arc 的服务器。从 Microsoft 下载中心下载最新版本的 Azure Connected Machine 代理 Windows Installer 包并将其保存到远程共享。
执行部署脚本
DeployGPO.ps1
,修改 DomainFQDN、ReportServerFQDN、ArcRemoteShare、服务主体机密、服务主体客户端 ID、订阅 ID、资源组、区域、租户和 AgentProxy(如果适用)的运行参数:.\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
应用组策略对象
在组策略管理控制台 (GPMC) 上,右键单击所需的组织单位并链接名为“[MSFT] Azure Arc Servers (datetime)”的 GPO。 这是组策略对象,其中包含要加入计算机的计划任务。 10 或 20 分钟后,组策略对象将复制到相应的域控制器。 详细了解如何在 Microsoft Entra 域服务中创建和管理组策略。
成功安装代理并将其配置为连接到已启用 Azure Arc 的服务器后,请转到 Azure 门户,验证是否已成功连接组织单位中的服务器。 在 Azure 门户中查看计算机。
重要
确认服务器已成功加入到 Arc 后,禁用组策略对象。 这将阻止在系统重启或组策略进行更新时执行计划任务中的相同 Powershell 命令。
后续步骤
查看规划和部署指南,以便对按任意规模部署启用了 Azure Arc 的服务器进行规划,并实现集中管理和监视。
查看 Connected Machine Agent 故障排除指南中的连接故障排除信息。
了解如何使用 Azure Policy 管理计算机,例如,进行 VM 来宾配置、验证计算机是否向预期的 Log Analytics 工作区报告等等。
详细了解组策略。