Azure Storage Account in OnPrem-AD einbinden
Hallo zusammen,
ich versuche gerade einen Azure-Storage-Account in eine OnPrem-AD zu bringen.
Ich nutze hierfür das PS-Script, welches von MS empfohlen wird:
https://learn.microsoft.com/de-de/azure/storage/files/storage-files-iden ...
Ich habe mir in einer für mich administrierbaren OU einen Account angelegt, der mit der Azure-AD gesynct wird und Contributor-Rechte auf dem Azure-Storage-Account, sowie Leserechte auf der Resourcegroup hat.
Zusätzlich habe ich diesem Account der OnPrem-AD-OU, in die der Azure-Storage-Account als ServiceLogonAccount erstellt werden soll Vollzugriff gegeben.
Ich führe das alles von einem virtuellen Windows 10 Client aus, der Zugriff auf meine Azure-Resource-Group hat und auch auf meine OnPrem AD.
Wenn ich nun das Script aus dem Link oben ausführe, dann komme ich genau bis hier hin:
Es sieht so aus, als ob mir in der OnPrem-AD-OU die Rechte fehlen den DomainAccount Typ "ServiceLogonAccount (oder auch ComputerAccount)" zu erstellen, obwohl ich in der OU dem User Vollzugriff gegeben habe!
Hat das jemand schon einmal gehabt?
ich versuche gerade einen Azure-Storage-Account in eine OnPrem-AD zu bringen.
Ich nutze hierfür das PS-Script, welches von MS empfohlen wird:
https://learn.microsoft.com/de-de/azure/storage/files/storage-files-iden ...
Ich habe mir in einer für mich administrierbaren OU einen Account angelegt, der mit der Azure-AD gesynct wird und Contributor-Rechte auf dem Azure-Storage-Account, sowie Leserechte auf der Resourcegroup hat.
Zusätzlich habe ich diesem Account der OnPrem-AD-OU, in die der Azure-Storage-Account als ServiceLogonAccount erstellt werden soll Vollzugriff gegeben.
Ich führe das alles von einem virtuellen Windows 10 Client aus, der Zugriff auf meine Azure-Resource-Group hat und auch auf meine OnPrem AD.
Wenn ich nun das Script aus dem Link oben ausführe, dann komme ich genau bis hier hin:
//PS C:\temp\AzFilesHybrid> Join-AzStorageAccount `
-ResourceGroupName $ResourceGroupName `
-StorageAccountName $StorageAccountName `
-SamAccountName $SamAccountName `
-DomainAccountType $DomainAccountType `
-OrganizationalUnitDistinguishedName $OuDistinguishedName `
-EncryptionType $EncryptionType
New-ADAccountForStorageAccount : Access denied: You don't have permission to create an identity of type
ServiceLogonAccount in Active Directory location path
'OU=Accounts,OU=Test,OU=Test-Ops,OU=Services,DC=test,DC=com' for the storage account
'storage01'
In
\\test.com\share$\HOMES\MeinAccount\WindowsPowerShell\Modules\AzFilesHybrid\0.2.5.0\AzFilesHybrid.psm1:5063
Zeichen:29
+ ... kedResult = New-ADAccountForStorageAccount @newParams -ErrorAction St ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Write-Error], WriteErrorException
+ FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,New-ADAccountForStorageAccoun
t//
Es sieht so aus, als ob mir in der OnPrem-AD-OU die Rechte fehlen den DomainAccount Typ "ServiceLogonAccount (oder auch ComputerAccount)" zu erstellen, obwohl ich in der OU dem User Vollzugriff gegeben habe!
Hat das jemand schon einmal gehabt?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6308164638
Url: https://administrator.de/forum/azure-storage-account-in-onprem-ad-einbinden-6308164638.html
Ausgedruckt am: 23.12.2024 um 23:12 Uhr
4 Kommentare
Neuester Kommentar
Moin,
Folgenden Hinweis hast du berücksichtigt:
Gruß,
Dani
Zusätzlich habe ich diesem Account der OnPrem-AD-OU, in die der Azure-Storage-Account als ServiceLogonAccount erstellt werden soll Vollzugriff gegeben.
wie hast du den Vollzugriff eingerichtet? Stimmt denn die berechtige OU auch mit der OU im Skript überein?Folgenden Hinweis hast du berücksichtigt:
Sie müssen das folgende Skript in PowerShell 5.1 auf einem Gerät ausführen, dessen Domäne mit Ihrem lokalen AD DS verbunden ist, und dabei lokale AD DS-Anmeldeinformationen verwenden, die mit Ihrem Azure AD synchronisiert sind.
Gruß,
Dani
Moin,
Gruß,
Dani
ich habe es noch einmal geprüft, ja, der User hat FullControl auf die im Script angegebene OU.
das beantwortet nicht meine Frage, wie du diese Berechtigung auf die OU gesetzt hast.Der Rechner, mit dem ich das mache hat Powershell 5.1.19041.2364 und hat eine Verbindung zur Azure-Cloud und sollte die zur OnPrem-AD eigentlich auch haben.
Sollte? Dieses Wort gibt es in der IT nicht. Ja oder Nein.Das sieht so aus, als ob ich mit meinem Rechner/User nicht an die AD komme, jedenfalls nicht mit dem SnapIn.
Dann würde ich an der Stelle weitersuchen.Gruß,
Dani