gmeurb
Goto Top

Azure Storage Account in OnPrem-AD einbinden

Hallo zusammen,
ich versuche gerade einen Azure-Storage-Account in eine OnPrem-AD zu bringen.

Ich nutze hierfür das PS-Script, welches von MS empfohlen wird:

https://learn.microsoft.com/de-de/azure/storage/files/storage-files-iden ...

Ich habe mir in einer für mich administrierbaren OU einen Account angelegt, der mit der Azure-AD gesynct wird und Contributor-Rechte auf dem Azure-Storage-Account, sowie Leserechte auf der Resourcegroup hat.

Zusätzlich habe ich diesem Account der OnPrem-AD-OU, in die der Azure-Storage-Account als ServiceLogonAccount erstellt werden soll Vollzugriff gegeben.

Ich führe das alles von einem virtuellen Windows 10 Client aus, der Zugriff auf meine Azure-Resource-Group hat und auch auf meine OnPrem AD.

Wenn ich nun das Script aus dem Link oben ausführe, dann komme ich genau bis hier hin:
//PS C:\temp\AzFilesHybrid> Join-AzStorageAccount `
        -ResourceGroupName $ResourceGroupName `
        -StorageAccountName $StorageAccountName `
        -SamAccountName $SamAccountName `
        -DomainAccountType $DomainAccountType `
        -OrganizationalUnitDistinguishedName $OuDistinguishedName `
        -EncryptionType $EncryptionType
New-ADAccountForStorageAccount : Access denied: You don't have permission to create an identity of type   
ServiceLogonAccount in Active Directory location path 
'OU=Accounts,OU=Test,OU=Test-Ops,OU=Services,DC=test,DC=com' for the storage account   
'storage01'  
In 
\\test.com\share$\HOMES\MeinAccount\WindowsPowerShell\Modules\AzFilesHybrid\0.2.5.0\AzFilesHybrid.psm1:5063 
Zeichen:29
+ ... kedResult = New-ADAccountForStorageAccount @newParams -ErrorAction St ...
+                 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,New-ADAccountForStorageAccoun 
   t//

Es sieht so aus, als ob mir in der OnPrem-AD-OU die Rechte fehlen den DomainAccount Typ "ServiceLogonAccount (oder auch ComputerAccount)" zu erstellen, obwohl ich in der OU dem User Vollzugriff gegeben habe!

Hat das jemand schon einmal gehabt?

Content-ID: 6308164638

Url: https://administrator.de/forum/azure-storage-account-in-onprem-ad-einbinden-6308164638.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

Dani
Dani 10.03.2023 um 21:48:12 Uhr
Goto Top
Moin,
Zusätzlich habe ich diesem Account der OnPrem-AD-OU, in die der Azure-Storage-Account als ServiceLogonAccount erstellt werden soll Vollzugriff gegeben.
wie hast du den Vollzugriff eingerichtet? Stimmt denn die berechtige OU auch mit der OU im Skript überein?

Folgenden Hinweis hast du berücksichtigt:
Sie müssen das folgende Skript in PowerShell 5.1 auf einem Gerät ausführen, dessen Domäne mit Ihrem lokalen AD DS verbunden ist, und dabei lokale AD DS-Anmeldeinformationen verwenden, die mit Ihrem Azure AD synchronisiert sind.


Gruß,
Dani
gmeurb
gmeurb 13.03.2023 um 10:41:04 Uhr
Goto Top
Hi Dani,

ich habe es noch einmal geprüft, ja, der User hat FullControl auf die im Script angegebene OU. Die Schreibweise ist korrekt, ich führe das Script im Adminmodus aus.

Der Rechner, mit dem ich das mache hat Powershell 5.1.19041.2364 und hat eine Verbindung zur Azure-Cloud und sollte die zur OnPrem-AD eigentlich auch haben.

Rufe ich allerdings das Snap-In für Active-Directory-Benutzer und -Computer auf kommt das Popupfenster:

"Das unten aufgeführte, in diesem Dokument verwiesene Snap-In wurde durch Richtlinien engeschrängt. Weitere..."

Das sieht so aus, als ob ich mit meinem Rechner/User nicht an die AD komme, jedenfalls nicht mit dem SnapIn.
Ob das relevant ist weiß ich nicht, aber es wundert mich, da ich das schon einmal über diesen Rechner getan habe.

Grüße
Eric
Dani
Dani 15.03.2023 um 20:50:54 Uhr
Goto Top
Moin,
ich habe es noch einmal geprüft, ja, der User hat FullControl auf die im Script angegebene OU.
das beantwortet nicht meine Frage, wie du diese Berechtigung auf die OU gesetzt hast.

Der Rechner, mit dem ich das mache hat Powershell 5.1.19041.2364 und hat eine Verbindung zur Azure-Cloud und sollte die zur OnPrem-AD eigentlich auch haben.
Sollte? Dieses Wort gibt es in der IT nicht. Ja oder Nein.

Das sieht so aus, als ob ich mit meinem Rechner/User nicht an die AD komme, jedenfalls nicht mit dem SnapIn.
Dann würde ich an der Stelle weitersuchen.


Gruß,
Dani
gmeurb
Lösung gmeurb 16.03.2023 um 09:25:12 Uhr
Goto Top
So Lösung ganz einfach wie auch ich blind!

Der User mit dem ich Powershell aufrufe, hat zwar eine Verbindung zur OnPrem-AD, aber keine Schreibrechte auf die OU.
Der User darf die auch nicht wegen Firmenpolicies haben und mein Adminuser, der das darf, der kommt nicht an das Azure AD, der kommt überhaupt nicht aus der Firma raus, hat aber Schreibrechte auf der entsprechenden OU.

Also mit dem Adminuser einen Serviceuser gebastelt, der in beide Welten darf und auch Schreibrechte auf die OU hat. Powershell mit diesem Serviceuser geöffnet und schon klappt das!

Grüße
Eric