使用组策略大规模连接计算机

可以使用组策略大规模地将已加入 Active Directory 的 Windows 计算机加入到已启用 Azure Arc 的服务器。

首先需要设置带有 Connected Machine Agent 的本地远程共享，并修改一个脚本，该脚本指定已启用 Arc 的服务器在 Azure 中的登陆区域。 然后，你将运行一个脚本，该脚本生成一个组策略对象 (GPO)，以便将一组计算机加入到已启用 Azure Arc 的服务器。 此组策略对象可以应用于站点、域或组织级别。 分配还可以使用组策略原生的访问控制列表 (ACL) 和其他安全筛选。 组策略范围内的计算机将加入到已启用 Azure Arc 的服务器。 将 GPO 范围限定为仅包括要加入 Azure Arc 的计算机。

在开始之前，请务必查看先决条件，并验证你的订阅和资源是否符合要求。 有关支持的区域和其他相关注意事项的信息，请参阅支持的 Azure 区域。 另请查看我们的《大规模规划指南》，以了解设计和部署标准，以及我们的管理和监视建议。

如果没有 Azure 订阅，请在开始前创建一个试用版订阅。

准备远程共享并创建服务主体

用于加入已启用 Azure Arc 的服务器的组策略对象需要与 Connected Machine Agent 的远程共享。 需执行以下操作：

1. 准备远程共享以托管用于 Windows 的 Azure Connected Machine 代理包和配置文件。 需要能够将文件添加到分布式位置。 网络共享应为域控制器、域计算机和域管理员提供“更改”权限。

2. 按照步骤为大规模加入创建服务主体。

   • 将“Azure Connected Machine 加入”角色分配给服务主体，并将该角色的作用域限制为目标 Azure 登陆区域。
   • 记下服务主体密钥；稍后需要用到此值。

3. 从 https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/ 下载 ArcEnabledServersGroupPolicy_vX.X.X 文件夹并将其解压缩。 此文件夹包含具有脚本 EnableAzureArc.ps1、DeployGPO.ps1 和 AzureArcDeployment.psm1 的 ArcGPO 项目结构。 将使用这些资产将计算机加入已启用 Azure Arc 的服务器。

4. 从 Microsoft 下载中心下载最新版本的 Azure Connected Machine 代理 Windows Installer 包并将其保存到远程共享。

5. 执行部署脚本 DeployGPO.ps1，修改 DomainFQDN、ReportServerFQDN、ArcRemoteShare、服务主体机密、服务主体客户端 ID、订阅 ID、资源组、区域、租户和 AgentProxy（如果适用）的运行参数：

   .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
   

应用组策略对象

在组策略管理控制台 (GPMC) 上，右键单击所需的组织单位并链接名为“[MSFT] Azure Arc Servers (datetime)”的 GPO。 这是组策略对象，其中包含要加入计算机的计划任务。 10 或 20 分钟后，组策略对象将复制到相应的域控制器。 详细了解如何在 Microsoft Entra 域服务中创建和管理组策略。

成功安装代理并将其配置为连接到已启用 Azure Arc 的服务器后，请转到 Azure 门户，验证是否已成功连接组织单位中的服务器。 在 Azure 门户中查看计算机。

后续步骤

• 查看规划和部署指南，以便对按任意规模部署启用了 Azure Arc 的服务器进行规划，并实现集中管理和监视。

• 查看 Connected Machine Agent 故障排除指南中的连接故障排除信息。

• 详细了解组策略。