共用方式為

使用组策略大规模连接计算机

可以使用组策略大规模将已加入 Active Directory 的 Windows 计算机加入 到已启用 Azure Arc 的服务器

首先,设置托管 Connected Machine 代理的远程共享,然后修改一个脚本,指定已启用 Arc 的服务器在 Azure 中的登陆区域。 接下来,运行生成组策略对象(GPO)的脚本,将一组计算机载入已启用 Azure Arc 的服务器。 此组策略对象可在站点、域或组织级别应用。 分配还可以使用访问控制列表(ACL)和其他本机到组策略的安全筛选。 组策略范围内的所有计算机都将载入到已启用 Azure Arc 的服务器,因此将 GPO 的范围限定为仅包含要加入到 Azure Arc 的计算机。

在开始之前,请确保环境满足 连接的计算机代理先决条件部署已启用 Azure Arc 的服务器的网络要求。 有关支持的区域和其他相关注意事项的信息,请参阅支持的 Azure 区域。 若要详细了解设计和部署条件,请查看我们的 大规模规划指南

如果没有 Azure 订阅,请在开始前创建一个试用版订阅

准备远程共享并创建服务主体

用于加入已启用 Azure Arc 的服务器的组策略对象需要与 Connected Machine Agent 的远程共享。

  1. 准备远程共享以托管用于 Windows 的 Azure Connected Machine 代理包和配置文件。 需要能够将文件添加到此远程共享。 域控制器和域计算机必须可访问网络共享。 域计算机应具有更改权限,域管理员应具有完全控制权限。

  2. 按照步骤为大规模加入创建服务主体

    • 将 Azure Connected Machine Onboarding 角色分配给服务主体。 将角色的范围限制为目标 Azure 登陆区域。
    • 记下服务主体密钥;稍后需要用到此值。
  3. 下载 ArcEnabledServersGroupPolicy_vX.X.X 文件夹并将其解压缩。 此文件夹包含具有脚本 EnableAzureArc.ps1DeployGPO.ps1AzureArcDeployment.psm1 的 ArcGPO 项目结构。 这些资产用于将计算机载入已启用 Azure Arc 的服务器。

  4. 从 Microsoft 下载中心下载最新版本的 Azure Connected Machine 代理 Windows Installer 包并将其保存到远程共享。

  5. 在域控制器上执行部署脚本 DeployGPO.ps1 ,修改 DomainFQDN、ReportServerFQDN、ArcRemoteShare、服务主体机密、服务主体客户端 ID、订阅 ID、资源组、区域、租户和 AgentProxy 的运行参数(如果适用)。 可以在脚本注释中找到有关这些值的详细信息。

    例如,以下命令将 GPO 部署到 contoso.com 域,并将载入脚本EnableAzureArc.ps1复制到服务器中的AzureArcOnBoard远程共享Server.contoso.com

    .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
    

应用组策略对象

在组策略管理控制台(GPMC)上,右键单击所需的组织单位(OU),并链接名为 [MSFT] Azure Arc 服务器(datetime)的 GPO。 此 GPO 有一个计划任务来载入计算机。 在 20 分钟内,GPO 将复制到相应的域控制器。 有关在 Microsoft Entra 域服务中创建和管理组策略的详细信息,请参阅 Microsoft Entra Domain Services 托管域中的管理组策略

验证成功载入

安装和配置代理后,请验证 OU 中的服务器是否已成功连接到 Azure Arc。为此,可以确保它们显示在 Azure 门户Azure Arc - 计算机下。

重要

确认服务器已成功载入 Azure Arc 后,请禁用组策略对象。 这样做可以防止计划任务中的 PowerShell 命令在系统重新启动或组策略更新时再次执行。

后续步骤