WSFC AD權限規劃

    長久以來老王一直髮現一個問題，彷佛有不少人對於WSFC羣集的權限存在一些誤解，覺得只有域administrator才能夠裝，或者要Domain admins才能夠裝

    其實WSFC的安裝並不須要那麼大的權限，在本文中老王將爲你們分享WSFC AD權限規劃，咱們將盡量採用最小化權限的原則來進行設計。

    主要圍繞兩種場景

     1.最小化權限

     2.預先置備CNO

   以前博客中也曾經和你們提到過羣集的建立過程，以WSFC 2012時代以後爲例，當咱們輸入羣集名稱後，羣集會使用咱們當前的執行帳號去AD裏面建立CNO對象，去DNS中建立CNO DNS記錄，默認狀況下AD裏面的普通用戶也能夠去DNS中註冊記錄，因此對於CNO的DNS記錄咱們不用Care，咱們須要關心的就是CNO的權限與VCO的權限。

    首先建立一個羣集用戶cluadmin 權限默認

將該帳戶經過組策略下發也好或手動添加也好加入到羣集各節點本地管理員組

這是第一個要添加的權限由於執行建立羣集嚮導必需要本地管理員權限才能夠

第一步作完以後咱們接着來思考，既然你建立羣集嚮導要連到AD建立CNO，那麼確定是須要對AD有寫入權限吧，這個寫入的權限其實並不須要直接給賦予domain admins 或enterprise admins那麼大的權限，羣集管理帳戶或羣集管理帳戶組只須要對於OU具有 建立計算機對象 及 讀取全部屬性 權限便可建立CNO對象完成須要的工做。

在2008時代建立CNO默認只會在默認計算機OU生成，WSFC 2012時×××始默認狀況下將跟隨節點，在羣集節點計算機對象所在OU建立CNO，咱們也能夠在建立羣集過程當中指定要把CNO建立到具體哪一個OU下面，後面老王會爲你們演示。

打開ADUC -> 選定CNO要被生成在的OU -> 屬性 -> 安全

添加cluadmin 賦予 建立計算機對象 及 讀取全部屬性權限

到這裏對於咱們建立CNO對象的最小權限設計就已經完成了，這就是建立羣集這一步所須要的權限，如今咱們在羣集節點上使用cluadmin用戶登陸就能夠在指定的OU下面建立CNO

能夠看到在WSFC 2012以後支持建立羣集CNO在指定OU下

建立完成後能夠正常看到CNO及DNS記錄

事件管理器中能夠看到並沒有報錯，羣集獲得了正常的生成

到這裏咱們使用最小化權限完成了WSFC羣集的搭建

那麼下一步咱們須要在WSFC上面跑應用建立VCO，以前咱們說過VCO的建立管理是由CNO來負責，那麼咱們還須要在OU上面賦予CNO計算機帳戶建立VCO的權限。

一樣CNO只須要對於OU的 建立計算機對象 及 讀取全部屬性權限，由於從2012開始VCO默認和CNO建立在相同OU下，因此咱們只要對CNO所在OU賦予CNO的權限便可。

除了AD外VCO還須要DNS記錄，VCO的DNS記錄也是由CNO負責建立維護，所以須要確保CNO計算機帳戶對於DNS區域有 修改權限 建立權限，刪除權限可選，如不選擇到時可能需手動清理CNO DNS記錄。

賦予完成CNO的OU權限和DNS權限後，下面建立VCO發現已經能夠正常寫入AD和DNS

到這裏咱們就經過了最小化的權限來成功的建立了羣集而且完成了羣集上層的應用搭建，這就是羣集建立起來所須要的全部權限   That's it That's all 

讓咱們來總結下

• 對於羣集建立帳戶要求是各節點本地管理組成員

• 建立計算機對象 及 讀取全部屬性權限

• 羣集CNO對於所在OU具有建立計算機對象 及 讀取全部屬性權限

• 羣集CNO對於DNS區域具有建立記錄修改記錄權限

• CNO對象對VCO對象需具有重設密碼權限默認狀況下經過CNO建立的VCO具有該權限

從此您再建立羣集再也不須要每次都使用administrator或domain admins，您能夠經過這樣權限更小的帳號來完成建立羣集的工做。

不過這種模式雖然安全了一點 但也有它隨之帶來的麻煩即AD管理員須要爲羣集賦予權限兩次

1. 賦予建立羣集的用戶權限

2. 羣集建立完成後賦予CNO權限

這裏的關鍵在於，一旦咱們選擇了這種模型就表明了AD管理員信賴羣集管理員把羣集建立的工做交給了羣集管理員完成，我能夠給它這樣低的權限，它也能夠完成工做，這很好，對於AD管理員來講這比之前讓他們使用administrator好多了，可是每次須要賦予兩次權限這個或多或少都有一點麻煩，由於第二步CNO對象的權限賦予 只有在建立完成羣集後才能產生CNO

因此~ 除了這種傳統方式外咱們還有預置羣集計算機帳號的方式

傳統方式下是由AD管理員賦予個權限而後讓羣集管理員連到AD建立

經過預置咱們能夠事先就在AD裏面建立好CNO對象

例如，羣集管理員把要創建的羣集名稱告訴AD管理員，AD管理員事先在某個規劃好的OU下面建立CNO計算機對象 並禁用。

以後羣集管理員建立羣集時，直接鏈接到AD，自動激活啓用事先建立好的CNO對象。

AD管理員也能夠事先就把CNO建立VCO的OU權限賦予好，由於CNO已經預置好了，這樣只須要賦予一次權限就能夠了，也更加省事。

這種預置方案特別適合那些對於建立變動要求嚴格的地方，要求一切都按照事先規劃好的完成，那麼預置是最好的選擇了。

經過預置也減小了羣集管理員誤操做的風險，一切都使用事先規劃好的對象

若是咱們經過預置方案甚至能夠沒必要爲cluadmin授予建立計算機的權限，由於建立計算機的操做會事先由AD管理員進行。

預置CNO對象操做步驟

AD管理員按照 羣集管理員 告知的名稱 建立計算機對象 並禁用

點擊計算機對象->屬性->安全賦予cluadmin帳戶對於CNO對象具有徹底控制權限

若是接下來羣集還須要建立VCO對象，那麼您有兩種方案能夠選擇

1. 手動賦予CNO對象對於所在OU具有 建立計算機對象 及 讀取全部屬性權限，應用於範圍此對象」和「全部後代」

2. 預置VCO對象

因爲手動賦予權限的辦法咱們上面已經作過，因此這裏再也不演示，惟一區別在於若是不預置，咱們須要等待建立完成羣集後，再次賦予CNO建立VCO的權限，使用預置咱們能夠直接一次作掉交付給羣集管理員。

預置VCO對象操做步驟

建立VCO計算機對象並禁用

賦予CNO計算機對象對於VCO計算機對象具有徹底控制權限

賦予CNO對象對於DNS區域具有修改及建立權限

按照規劃好的名稱建立羣集

檢測到使用的cluadmin帳戶已經賦予對目標CNO對象具有徹底控制權限，自動聯機激活以前已被建立好的禁用CNO計算機帳戶

DNS記錄也已經獲得正確註冊

按照事先規劃好的名稱建立DTC VCO對象

羣集檢測到當前VCO對象存在 且CNO對象對於VCO對象具有權限 將自動聯機啓動預置VCO對象

VCO DNS記錄也獲得正確建立

回顧一下WSFC傳統AD模型的權限需求

1. 建立羣集的執行帳戶要求是各節點本地管理員

2. 建立羣集的帳戶須要對目標OU具有建立計算機對象 及 讀取全部屬性權限 

3. 建立VCO的CNO對象須要對所在OU具有建立計算機對象 及 讀取全部屬性權限

4. 建立VCO的CNO對象須要對DNS區域具有建立修改權限

5. 確認CNO對象對VCO對象具有重設密碼權限默認狀況下經過CNO建立的VCO具有

只要知足這五個條件，咱們就能夠建立一個正常的AD依賴羣集及上層應用。

若是採用預置對象的方案，咱們能夠不用授予建立羣集執行帳戶權限與CNO對於OU的權限，直接賦予建立羣集執行帳戶具有CNO徹底控制權限，授予CNO對於VCO具有徹底控制權限便可，DNS區域權限仍需賦予但使用預置對象方案讓WSFC AD權限對象更加合規化

以上爲老王實際驗證而得對於傳統WSFC羣集AD權限的需求處理，以及如何使用最小化權限實現WSFC權限需求，但願可以爲感興趣的朋友帶來收穫