共用方式為

在 Active Directory 中設定叢集帳戶

Active Directory (AD) 中的叢集帳戶對於 Windows Server 故障轉移叢集的安全可靠作業而言非常重要。 這些帳戶包括叢集服務或應用程式的叢集名稱帳戶和帳戶,可讓叢集與網域資源互動、驗證動作及管理許可權。 這些帳戶的適當設定可確保可以根據組織安全策略和最佳做法來建立、管理和維護叢集。

先決條件

Active Directory 網域服務角色必須安裝在您的裝置上。 若要深入瞭解,請參閱 在 Windows Server 中新增或移除角色和功能

安裝叢集的人員所使用的帳戶很重要,因為它用來在安裝期間建立叢集的計算機帳戶。 根據您的情境,需要下列項目:

  • 網域帳戶:如果您負責在AD中建立叢集帳戶並指派必要的許可權,您必須具有網域層級許可權。 您必須是 Domain AdminsAccount Operators 群組的成員,或具有對等的許可權。

  • 指派本機許可權:如果叢集帳戶已由其他人在 AD 中建立,而您的工作是將此帳戶新增至每個叢集伺服器上的本機 Administrators 群組,您只需要這些伺服器上的系統管理許可權。 您必須是每台伺服器上本機 管理者 群組的成員。

設定叢集帳戶

建立或取得將安裝叢集的人員的網域帳戶。 此帳戶可以是標準網域用戶帳戶或 帳戶作員 帳戶。 如果您使用標準用戶帳戶,您稍後必須在此程式中授與其他許可權。 如果您建立或取得的帳戶不是網域電腦上的本機 Administrators 群組的一部分,請按照下列步驟,將其新增至每個加入故障轉移叢集的伺服器上的本機 Administrators 群組:

  1. [伺服器管理員] 中,選取 [工具],然後選取 [ 計算機管理]。

  2. 在 [ 系統工具] 下方的左窗格中,依序展開 [ 本機使用者和群組] 和 [ 群組]。

  3. 在中央窗格中,以滑鼠右鍵按兩下 [ 系統管理員],選取 [ 新增至群組],然後選取 [ 新增]。

  4. 在 [ 輸入要選取的物件名稱 ] 字段中,輸入或搜尋您所建立或取得之使用者帳戶的名稱。 如果出現提示,請輸入認證,然後選取 [ 確定]。

在故障轉移叢集中成為節點的每個伺服器上重複這些步驟。

這很重要

這些步驟必須在叢集中成為節點的所有伺服器上重複執行。

如果您的帳戶是網域系統管理員,您可以略過下列步驟。 否則,您必須遵循域控制器上的下列步驟,授與帳戶建立 計算機對象 和讀取網域計算機帳戶容器中的所有 屬性 許可權:

  1. Server Manager中,選取 [工具],然後選取 [Active Directory 使用者和計算機]

  2. 選取 [檢視] 索引標籤,然後選取 [進階功能]

  3. 在左窗格中,展開您的網域,以滑鼠右鍵按兩下 [計算機],然後選取 [ 屬性]。

  4. 選取 [安全性] 索引標籤,然後選取 [進階]

  5. 選取 [新增]、選取 [ 選取主體]、輸入或搜尋帳戶名稱,然後選取 [ 確定]。

  6. [許可權] 底下,選取 [ 建立計算機物件]。 在 [屬性] 底下,選取 [讀取所有屬性]。 然後選擇確定

  7. 選取 [確定 ] 以關閉 [ 進階安全性設定 ] 視窗,然後再次選取 [ 確定 ]。

預先設置叢集名稱帳戶

如果組織原則要求您預先設置叢集名稱帳戶,請遵循提供的步驟。 否則,您可以允許 [建立叢集精靈] 在叢集安裝期間自動建立和設定帳戶。 開始之前,請確定您擁有將用來建立叢集的叢集名稱和用戶帳戶。 您可以使用此帳戶來完成預先設定步驟:

  1. 在 DC 上,選取 [ 啟動],選取 [ 系統管理工具],然後選取 [Active Directory 使用者和計算機]。

  2. 在左窗格中,以滑鼠右鍵按兩下 [ 計算機],然後選取 [ 新增>計算機]。

  3. 輸入您想要用於故障轉移叢集的名稱。 這是在 [建立叢集精靈] 中輸入的叢集名稱,選取 [ 確定]。

  4. 以滑鼠右鍵按下您建立的帳戶,然後選取 [ 停用帳戶]。 如果系統提示您確認您的選擇,請選取 [ ],然後選取 [ 確定]。

    停用帳戶可確保建立叢集精靈可以確認帳戶尚未指派給網域中的另一部計算機或叢集,然後再繼續。

  5. 選取 [ 檢視] 索引卷標,確定已選取 [ 進階功能 ]。 如果未選取,請加以選取。

  6. 以滑鼠右鍵按兩下 [計算機],選取 [ 內容],選取 [ 安全性] 索引卷標,然後選取 [ 進階]。

  7. 選取 [新增],選取 [ 選取主體],選取 [ 物件類型 ],並確定已選取 [計算機 ]。 然後選擇確定

  8. [輸入要選取的物件名稱] 下,輸入或搜尋您所建立之計算機帳戶的名稱,然後選取 [ 確定]。

  9. 安全性訊息會顯示通知新增已停用的物件。 請選擇 [確定]

  10. [許可權] 底下,選取 [ 建立計算機物件]。 在 [屬性] 底下,選取 [讀取所有屬性]。 選取 [確定],然後再次選取 [ 確定]

如果您使用相同的帳戶來建立叢集並執行此程式,您可以略過下列步驟。 否則,請確定指定用於建立叢集的用戶帳戶在您建立的計算機帳戶上具有完整控制許可權:

  1. [Active Directory 使用者和計算機] 中,選取 [ 檢視] 索引卷標。確定已選取 [ 進階功能 ]。 如果未選取,請加以選取。

  2. 在左窗格中,選取 [ 計算機]。 以滑鼠右鍵按下您建立的電腦帳戶,然後選取 [ 屬性]。

  3. 選取 [安全性] 索引標籤,選取 [ 新增],選取 [ 物件類型 ],並確定已選取 [計算機 ]。 然後選擇確定

  4. [輸入要選取的物件名稱] 下,輸入或搜尋計算機帳戶的名稱,然後選取 [ 確定]。

  5. 請確定已選取您剛才新增的用戶帳戶。 在帳戶 的許可權 下,選取 [完全控制],然後選取 [ 確定]。

預先設定叢集服務或應用程式的帳戶(選擇性)

在大部分情況下,讓高可用性精靈在安裝期間自動建立和設定帳戶會比較容易。 如果您的組織政策需要預先部署,請遵循以下步驟。

請先確定您知道叢集的名稱以及叢集服務或應用程式將擁有的名稱。

  1. 在 DC 的 [ 伺服器管理員] 中,選取 [ 工具],然後選取 [Active Directory 使用者和計算機]。

  2. 在左窗格中,以滑鼠右鍵按兩下 [ 計算機],選取 [ 新增>計算機]。

  3. 輸入您將用於叢集服務或應用程式的名稱,然後選取 [ 確定]。

  4. 選取 [ 檢視] 索引標籤。確定已選取 [ 進階功能 ]。 如果未選取,請加以選取。

  5. 以滑鼠右鍵按下您建立的電腦帳戶,選取 [ 內容],選取 [ 安全性] 索引標籤,然後選取 [ 新增]。

  6. 選取 [物件類型 ],並確定已選取 [計算機 ]。 然後選擇確定

  7. [輸入要選取的物件名稱] 下,輸入叢集名稱帳戶,然後選取 [ 確定]。

  8. 請確定已選取叢集名稱帳戶,選取 [完全控制],然後選取 [ 確定]。

另請參閱

  • Last updated on