通过

在 Active Directory 中配置群集帐户

Active Directory(AD)中的群集帐户对于 Windows Server 故障转移群集的安全可靠作至关重要。 这些帐户包括群集名称帐户和群集服务或应用程序的帐户,使群集能够与域资源交互、对作进行身份验证和管理权限。 这些帐户的正确配置可确保可以根据组织安全策略和最佳做法创建、管理和维护群集。

先决条件

必须在设备上安装 Active Directory 域服务 角色。 若要了解详细信息,请参阅 Windows Server 中的添加或删除角色和功能

安装群集的人员使用的帐户非常重要,因为它用于在安装过程中为群集创建计算机帐户。 根据你的方案,需要满足以下条件:

  • 域帐户:如果你负责在 AD 中创建群集帐户并分配必要的权限,则必须具有域级权限。 你必须是 域管理员帐户作员 组的成员,或者具有等效的权限。

  • 分配本地权限:如果群集帐户已由其他人在 AD 中创建,并且你的任务是将此帐户添加到每个群集服务器上的本地 管理员 组,则只需对这些服务器拥有管理权限。 你必须是每台服务器上的本地 管理员 组的成员。

配置群集帐户

为将安装群集的人员创建或获取域帐户。 此帐户可以是标准域用户帐户或 帐户作员 帐户。 如果使用标准用户帐户,则需要在此过程中稍后授予其他权限。 如果创建的或获取的帐户不是域计算机上的本地 管理员 组的一部分,请按照以下步骤将其添加到成为故障转移群集一部分的每个服务器上的本地 管理员 组:

  1. “服务器管理器”中,选择“ 工具”,然后选择“ 计算机管理”。

  2. “系统工具”下的左窗格中,展开 “本地用户和组”,然后展开“ ”。

  3. 在中心窗格中,右键单击 “管理员”,选择“ 添加到组”,然后选择“ 添加”。

  4. “输入对象名称以选择 字段”下,键入或搜索所创建或获取的用户帐户的名称。 如果出现提示,请输入凭据,然后选择“ 确定”。

在每台将成为故障转移群集节点的服务器上重复这些步骤。

重要

必须在群集中成为节点的所有服务器上重复这些步骤。

如果你的帐户是域管理员,则可以跳过以下步骤。 否则,您需要在域控制器上执行以下步骤,以在域的计算机帐户容器中授予帐户创建计算机对象读取所有属性的权限:

  1. 服务器管理器中,选择 “工具”,然后选择“ Active Directory 用户和计算机”。

  2. 选择“ 视图 ”选项卡,然后选择“ 高级功能”。

  3. 在左窗格中,展开域,右键单击“ 计算机”,然后选择“ 属性”。

  4. 选择“ 安全 ”选项卡,然后选择“ 高级”。

  5. 依次选择 “添加”、“ 选择主体”、“键入或搜索帐户名称”,然后选择“ 确定”。

  6. 权限下,选择创建计算机对象。 在 “属性”下,选择“ 读取所有属性”。 然后选择“ 确定”。

  7. 选择 “确定 ”以关闭 “高级安全设置” 窗口,然后再次选择“ 确定 ”。

预配置群集名称帐户

如果组织策略要求预配置群集名称账户,请按照提供的步骤操作。 否则,可以在群集安装过程中允许创建群集向导自动创建和配置帐户。 在开始之前,请确保具有用于创建群集的群集名称和用户帐户。 可以使用此帐户完成预设步骤:

  1. 在 DC 上,依次选择“ 开始”、“ 管理工具”和“ Active Directory 用户和计算机”。

  2. 在左窗格中,右键单击“ 计算机”,然后选择“ 新建>计算机”。

  3. 输入要用于故障转移群集的名称。 这是在“创建群集向导”中输入的群集名称,选择“ 确定”。

  4. 右键单击创建的帐户,然后选择“ 禁用帐户”。 如果系统提示确认选择,请选择“ ”,然后选择“ 确定”。

    禁用该帐户可确保在继续作之前,创建群集向导可以验证该帐户尚未分配给域中的另一台计算机或群集。

  5. 选择“ 视图 ”选项卡,确保已选择 “高级功能 ”。 如果没有,请选择它。

  6. 右键单击 “计算机”,选择“ 属性”,选择“ 安全 ”选项卡,然后选择“ 高级”。

  7. 选择 “添加”,选择 “选择主体”,选择 “对象类型 ”并确保已选择 “计算机 ”。 然后选择“ 确定”。

  8. 在“输入要选择的对象名称”下,键入或搜索所创建的计算机帐户的名称,然后选择“确定”。

  9. 此时会显示一条安全消息,通知添加禁用的对象。 选择“确定”

  10. “权限”下,选择“创建计算机对象”。 在 “属性”下,选择“ 读取所有属性”。 选择“确定”,然后再次选择“确定”。

如果使用同一帐户创建群集并执行此过程,可以跳过以下步骤。 否则,请确保为群集创建指定的用户帐户对所创建的计算机帐户具有完全控制权限:

  1. Active Directory 用户和计算机中,选择“ 视图 ”选项卡。确保已选择 高级功能 。 如果没有,请选择它。

  2. 在左窗格中,选择“ 计算机”。 右键单击你创建的计算机帐户,然后选择“ 属性”。

  3. 选择 “安全 ”选项卡,选择“ 添加”,选择 “对象类型 ”并确保选中 “计算机 ”。 然后选择“ 确定”。

  4. 在“输入要选择的对象名称”下,键入或搜索计算机帐户的名称,然后选择“确定”。

  5. 确保已选择刚添加的用户帐户。 在帐户 的权限 下,选择 “完全控制”,然后选择“ 确定”。

预先配置集群服务或应用程序的帐户(可选)

对于大多数方案,让高可用性向导在安装过程中自动创建和配置帐户会更容易。 如果组织的策略需要预准备,请执行以下步骤。

请确保你知道群集的名称,以及群集服务或应用程序将要使用的名称。

  1. 在 DC 上,在 服务器管理器中选择 “工具”,然后选择“ Active Directory 用户和计算机”。

  2. 在左窗格中,右键单击“ 计算机”,然后选择“ 新建>计算机”。

  3. 键入要用于群集服务或应用程序的名称,然后选择“ 确定”。

  4. 选择“ 视图 ”选项卡。确保已选择 高级功能 。 如果没有,请选择它。

  5. 右键单击你创建的计算机帐户,选择“ 属性”,选择“ 安全 ”选项卡,然后选择“ 添加”。

  6. 选择 对象类型 并确保已选择 计算机 。 然后选择“ 确定”。

  7. 在“输入要选择的对象名称”下,键入群集名称帐户,然后选择“确定”。

  8. 确保已选择群集名称帐户,选择 “完全控制”,然后选择“ 确定”。

另请参阅