4
Azure Storage Account in OnPrem-AD einbinden
Hallo zusammen,
ich versuche gerade einen Azure-Storage-Account in eine OnPrem-AD zu bringen.
Ich nutze hierfür das PS-Script, welches von MS empfohlen wird:
https://learn.microsoft.com/de-de/azure/storage/files/storage-files-iden ...
Ich habe mir in einer für mich administrierbaren OU einen Account angelegt, der mit der Azure-AD gesynct wird und Contributor-Rechte auf dem Azure-Storage-Account, sowie Leserechte auf der Resourcegroup hat.
Zusätzlich habe ich diesem Account der OnPrem-AD-OU, in die der Azure-Storage-Account als ServiceLogonAccount erstellt werden soll Vollzugriff gegeben.
Ich führe das alles von einem virtuellen Windows 10 Client aus, der Zugriff auf meine Azure-Resource-Group hat und auch auf meine OnPrem AD.
Wenn ich nun das Script aus dem Link oben ausführe, dann komme ich genau bis hier hin:
Es sieht so aus, als ob mir in der OnPrem-AD-OU die Rechte fehlen den DomainAccount Typ "ServiceLogonAccount (oder auch ComputerAccount)" zu erstellen, obwohl ich in der OU dem User Vollzugriff gegeben habe!
Hat das jemand schon einmal gehabt?
ich versuche gerade einen Azure-Storage-Account in eine OnPrem-AD zu bringen.
Ich nutze hierfür das PS-Script, welches von MS empfohlen wird:
https://learn.microsoft.com/de-de/azure/storage/files/storage-files-iden ...
Ich habe mir in einer für mich administrierbaren OU einen Account angelegt, der mit der Azure-AD gesynct wird und Contributor-Rechte auf dem Azure-Storage-Account, sowie Leserechte auf der Resourcegroup hat.
Zusätzlich habe ich diesem Account der OnPrem-AD-OU, in die der Azure-Storage-Account als ServiceLogonAccount erstellt werden soll Vollzugriff gegeben.
Ich führe das alles von einem virtuellen Windows 10 Client aus, der Zugriff auf meine Azure-Resource-Group hat und auch auf meine OnPrem AD.
Wenn ich nun das Script aus dem Link oben ausführe, dann komme ich genau bis hier hin:
//PS C:\temp\AzFilesHybrid> Join-AzStorageAccount `
-ResourceGroupName $ResourceGroupName `
-StorageAccountName $StorageAccountName `
-SamAccountName $SamAccountName `
-DomainAccountType $DomainAccountType `
-OrganizationalUnitDistinguishedName $OuDistinguishedName `
-EncryptionType $EncryptionType
New-ADAccountForStorageAccount : Access denied: You don't have permission to create an identity of type
ServiceLogonAccount in Active Directory location path
'OU=Accounts,OU=Test,OU=Test-Ops,OU=Services,DC=test,DC=com' for the storage account
'storage01'
In
\\test.com\share$\HOMES\MeinAccount\WindowsPowerShell\Modules\AzFilesHybrid\0.2.5.0\AzFilesHybrid.psm1:5063
Zeichen:29
+ ... kedResult = New-ADAccountForStorageAccount @newParams -ErrorAction St ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Write-Error], WriteErrorException
+ FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,New-ADAccountForStorageAccoun
t//Es sieht so aus, als ob mir in der OnPrem-AD-OU die Rechte fehlen den DomainAccount Typ "ServiceLogonAccount (oder auch ComputerAccount)" zu erstellen, obwohl ich in der OU dem User Vollzugriff gegeben habe!
Hat das jemand schon einmal gehabt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6308164638
Url: https://administrator.de/contentid/6308164638
Printed on: April 27, 2024 at 23:04 o'clock
4 Comments
Latest comment
Moin,
Folgenden Hinweis hast du berücksichtigt:
Gruß,
Dani
Zusätzlich habe ich diesem Account der OnPrem-AD-OU, in die der Azure-Storage-Account als ServiceLogonAccount erstellt werden soll Vollzugriff gegeben.
wie hast du den Vollzugriff eingerichtet? Stimmt denn die berechtige OU auch mit der OU im Skript überein?Folgenden Hinweis hast du berücksichtigt:
Sie müssen das folgende Skript in PowerShell 5.1 auf einem Gerät ausführen, dessen Domäne mit Ihrem lokalen AD DS verbunden ist, und dabei lokale AD DS-Anmeldeinformationen verwenden, die mit Ihrem Azure AD synchronisiert sind.Gruß,
Dani
Hi Dani,
ich habe es noch einmal geprüft, ja, der User hat FullControl auf die im Script angegebene OU. Die Schreibweise ist korrekt, ich führe das Script im Adminmodus aus.
Der Rechner, mit dem ich das mache hat Powershell 5.1.19041.2364 und hat eine Verbindung zur Azure-Cloud und sollte die zur OnPrem-AD eigentlich auch haben.
Rufe ich allerdings das Snap-In für Active-Directory-Benutzer und -Computer auf kommt das Popupfenster:
"Das unten aufgeführte, in diesem Dokument verwiesene Snap-In wurde durch Richtlinien engeschrängt. Weitere..."
Das sieht so aus, als ob ich mit meinem Rechner/User nicht an die AD komme, jedenfalls nicht mit dem SnapIn.
Ob das relevant ist weiß ich nicht, aber es wundert mich, da ich das schon einmal über diesen Rechner getan habe.
Grüße
Eric
ich habe es noch einmal geprüft, ja, der User hat FullControl auf die im Script angegebene OU. Die Schreibweise ist korrekt, ich führe das Script im Adminmodus aus.
Der Rechner, mit dem ich das mache hat Powershell 5.1.19041.2364 und hat eine Verbindung zur Azure-Cloud und sollte die zur OnPrem-AD eigentlich auch haben.
Rufe ich allerdings das Snap-In für Active-Directory-Benutzer und -Computer auf kommt das Popupfenster:
"Das unten aufgeführte, in diesem Dokument verwiesene Snap-In wurde durch Richtlinien engeschrängt. Weitere..."
Das sieht so aus, als ob ich mit meinem Rechner/User nicht an die AD komme, jedenfalls nicht mit dem SnapIn.
Ob das relevant ist weiß ich nicht, aber es wundert mich, da ich das schon einmal über diesen Rechner getan habe.
Grüße
Eric
Moin,
Gruß,
Dani
ich habe es noch einmal geprüft, ja, der User hat FullControl auf die im Script angegebene OU.
das beantwortet nicht meine Frage, wie du diese Berechtigung auf die OU gesetzt hast.Der Rechner, mit dem ich das mache hat Powershell 5.1.19041.2364 und hat eine Verbindung zur Azure-Cloud und sollte die zur OnPrem-AD eigentlich auch haben.
Sollte? Dieses Wort gibt es in der IT nicht. Ja oder Nein.Das sieht so aus, als ob ich mit meinem Rechner/User nicht an die AD komme, jedenfalls nicht mit dem SnapIn.
Dann würde ich an der Stelle weitersuchen.Gruß,
Dani
So Lösung ganz einfach wie auch ich blind!
Der User mit dem ich Powershell aufrufe, hat zwar eine Verbindung zur OnPrem-AD, aber keine Schreibrechte auf die OU.
Der User darf die auch nicht wegen Firmenpolicies haben und mein Adminuser, der das darf, der kommt nicht an das Azure AD, der kommt überhaupt nicht aus der Firma raus, hat aber Schreibrechte auf der entsprechenden OU.
Also mit dem Adminuser einen Serviceuser gebastelt, der in beide Welten darf und auch Schreibrechte auf die OU hat. Powershell mit diesem Serviceuser geöffnet und schon klappt das!
Grüße
Eric
Der User mit dem ich Powershell aufrufe, hat zwar eine Verbindung zur OnPrem-AD, aber keine Schreibrechte auf die OU.
Der User darf die auch nicht wegen Firmenpolicies haben und mein Adminuser, der das darf, der kommt nicht an das Azure AD, der kommt überhaupt nicht aus der Firma raus, hat aber Schreibrechte auf der entsprechenden OU.
Also mit dem Adminuser einen Serviceuser gebastelt, der in beide Welten darf und auch Schreibrechte auf die OU hat. Powershell mit diesem Serviceuser geöffnet und schon klappt das!
Grüße
Eric