可以使用组策略大规模将已加入 Active Directory 的 Windows 计算机加入 到已启用 Azure Arc 的服务器 。
首先,设置托管 Connected Machine 代理的远程共享,然后修改一个脚本,指定已启用 Arc 的服务器在 Azure 中的登陆区域。 接下来,运行生成组策略对象(GPO)的脚本,将一组计算机载入已启用 Azure Arc 的服务器。 此组策略对象可在站点、域或组织级别应用。 分配还可以使用访问控制列表(ACL)和其他本机到组策略的安全筛选。 组策略范围内的所有计算机都将载入到已启用 Azure Arc 的服务器,因此将 GPO 的范围限定为仅包含要加入到 Azure Arc 的计算机。
在开始之前,请确保环境满足 连接的计算机代理先决条件 和 部署已启用 Azure Arc 的服务器的网络要求。 有关支持的区域和其他相关注意事项的信息,请参阅支持的 Azure 区域。 若要详细了解设计和部署条件,请查看我们的 大规模规划指南。
如果没有 Azure 订阅,请在开始前创建一个试用版订阅。
准备远程共享并创建服务主体
用于加入已启用 Azure Arc 的服务器的组策略对象需要与 Connected Machine Agent 的远程共享。
准备远程共享以托管用于 Windows 的 Azure Connected Machine 代理包和配置文件。 需要能够将文件添加到此远程共享。 域控制器和域计算机必须可访问网络共享。 域计算机应具有更改权限,域管理员应具有完全控制权限。
按照步骤为大规模加入创建服务主体。
- 将 Azure Connected Machine Onboarding 角色分配给服务主体。 将角色的范围限制为目标 Azure 登陆区域。
- 记下服务主体密钥;稍后需要用到此值。
从 下载 ArcEnabledServersGroupPolicy_vX.X.X 文件夹并将其解压缩。 此文件夹包含具有脚本
EnableAzureArc.ps1
、DeployGPO.ps1
和AzureArcDeployment.psm1
的 ArcGPO 项目结构。 这些资产用于将计算机载入已启用 Azure Arc 的服务器。从 Microsoft 下载中心下载最新版本的 Azure Connected Machine 代理 Windows Installer 包并将其保存到远程共享。
在域控制器上执行部署脚本
DeployGPO.ps1
,修改 DomainFQDN、ReportServerFQDN、ArcRemoteShare、服务主体机密、服务主体客户端 ID、订阅 ID、资源组、区域、租户和 AgentProxy 的运行参数(如果适用)。 可以在脚本注释中找到有关这些值的详细信息。例如,以下命令将 GPO 部署到 contoso.com 域,并将载入脚本
EnableAzureArc.ps1
复制到服务器中的AzureArcOnBoard
远程共享Server.contoso.com
:.\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
应用组策略对象
在组策略管理控制台(GPMC)上,右键单击所需的组织单位(OU),并链接名为 [MSFT] Azure Arc 服务器(datetime)的 GPO。 此 GPO 有一个计划任务来载入计算机。 在 20 分钟内,GPO 将复制到相应的域控制器。 有关在 Microsoft Entra 域服务中创建和管理组策略的详细信息,请参阅 Microsoft Entra Domain Services 托管域中的管理组策略。
验证成功载入
安装和配置代理后,请验证 OU 中的服务器是否已成功连接到 Azure Arc。为此,可以确保它们显示在 Azure 门户 的 Azure Arc - 计算机下。
重要
确认服务器已成功载入 Azure Arc 后,请禁用组策略对象。 这样做可以防止计划任务中的 PowerShell 命令在系统重新启动或组策略更新时再次执行。
后续步骤
查看规划和部署指南,以便对按任意规模部署启用了 Azure Arc 的服务器进行规划,并实现集中管理和监视。
查看 Connected Machine Agent 故障排除指南中的连接故障排除信息。
了解如何使用 Azure Policy 管理计算机,例如 Azure 计算机配置、验证计算机是否向预期的 Log Analytics 工作区报告,等等。
详细了解组策略。