WSFC AD權限規劃

    長久以來老王一直發現一個問題，似乎有很多人對于WSFC群集的權限存在一些誤解，以為只有域administrator才可以裝，或者要Domain admins才可以裝

    其實WSFC的安裝并不需要那么大的權限，在本文中老王將為大家分享WSFC AD權限規劃，我們將盡可能采用最小化權限的原則來進行設計。

    主要圍繞兩種場景

     1.最小化權限

     2.預先置備CNO

   之前博客中也曾經和大家提到過群集的創建過程，以WSFC 2012時代之后為例，當我們輸入群集名稱后，群集會使用我們當前的執行賬號去AD里面創建CNO對象，去DNS中創建CNO DNS記錄，默認情況下AD里面的普通用戶也可以去DNS中注冊記錄，所以對于CNO的DNS記錄我們不用Care，我們需要關心的就是CNO的權限與VCO的權限。

    首先創建一個群集用戶cluadmin 權限默認

將該賬戶通過組策略下發也好或手動添加也好加入到群集各節點本地管理員組

這是第一個要添加的權限因為執行創建群集向導必須要本地管理員權限才可以

第一步做完之后我們接著來思考，既然你創建群集向導要連到AD創建CNO，那么肯定是需要對AD有寫入權限吧，這個寫入的權限其實并不需要直接給賦予domain admins 或enterprise admins那么大的權限，群集管理賬戶或群集管理賬戶組只需要對于OU具備 創建計算機對象 及 讀取所有屬性 權限即可創建CNO對象完成需要的工作。

在2008時代創建CNO默認只會在默認計算機OU生成，WSFC 2012時×××始默認情況下將跟隨節點，在群集節點計算機對象所在OU創建CNO，我們也可以在創建群集過程中指定要把CNO創建到具體哪個OU下面，后面老王會為大家演示。

打開ADUC -> 選定CNO要被生成在的OU -> 屬性 -> 安全

添加cluadmin 賦予 創建計算機對象 及 讀取所有屬性權限

到這里對于我們創建CNO對象的最小權限設計就已經完成了，這就是創建群集這一步所需要的權限，現在我們在群集節點上使用cluadmin用戶登錄就可以在指定的OU下面創建CNO

可以看到在WSFC 2012之后支持創建群集CNO在指定OU下

創建完成后可以正常看到CNO及DNS記錄

事件管理器中可以看到并無報錯，群集得到了正常的生成

到這里我們使用最小化權限完成了WSFC群集的搭建

那么下一步我們需要在WSFC上面跑應用創建VCO，之前我們說過VCO的創建管理是由CNO來負責，那么我們還需要在OU上面賦予CNO計算機賬戶創建VCO的權限。

同樣CNO只需要對于OU的 創建計算機對象 及 讀取所有屬性權限，因為從2012開始VCO默認和CNO創建在相同OU下，所以我們只要對CNO所在OU賦予CNO的權限即可。

除了AD外VCO還需要DNS記錄，VCO的DNS記錄也是由CNO負責創建維護，因此需要確保CNO計算機賬戶對于DNS區域有 修改權限 創建權限，刪除權限可選，如不選擇到時可能需手動清理CNO DNS記錄。

賦予完成CNO的OU權限和DNS權限后，下面創建VCO發現已經可以正常寫入AD和DNS

到這里我們就通過了最小化的權限來成功的創建了群集并且完成了群集上層的應用搭建，這就是群集創建起來所需要的所有權限   That's it That's all 

讓我們來總結下

• 對于群集創建賬戶要求是各節點本地管理組成員

• 創建計算機對象 及 讀取所有屬性權限

• 群集CNO對于所在OU具備創建計算機對象 及 讀取所有屬性權限

• 群集CNO對于DNS區域具備創建記錄修改記錄權限

• CNO對象對VCO對象需具備重設密碼權限默認情況下通過CNO創建的VCO具備該權限

今后您再創建群集不再需要每次都使用administrator或domain admins，您可以通過這樣權限更小的賬號來完成創建群集的工作。

不過這種模式雖然安全了一點 但也有它隨之帶來的麻煩即AD管理員需要為群集賦予權限兩次

1. 賦予創建群集的用戶權限

2. 群集創建完成后賦予CNO權限

這里的關鍵在于，一旦我們選擇了這種模型就代表了AD管理員信賴群集管理員把群集創建的工作交給了群集管理員完成，我可以給它這樣低的權限，它也可以完成工作，這很好，對于AD管理員來說這比以前讓他們使用administrator好多了，但是每次需要賦予兩次權限這個或多或少都有一點麻煩，因為第二步CNO對象的權限賦予 只有在創建完成群集后才能產生CNO

所以~ 除了這種傳統方式外我們還有預置群集計算機賬號的方式

傳統方式下是由AD管理員賦予個權限然后讓群集管理員連到AD創建

通過預置我們可以事先就在AD里面創建好CNO對象

例如，群集管理員把要建立的群集名稱告訴AD管理員，AD管理員事先在某個規劃好的OU下面創建CNO計算機對象 并禁用。

之后群集管理員創建群集時，直接連接到AD，自動激活啟用事先創建好的CNO對象。

AD管理員也可以事先就把CNO創建VCO的OU權限賦予好，因為CNO已經預置好了，這樣只需要賦予一次權限就可以了，也更加省事。

這種預置方案特別適合那些對于創建變更要求嚴格的地方，要求一切都按照事先規劃好的完成，那么預置是最好的選擇了。

通過預置也減少了群集管理員誤操作的風險，一切都使用事先規劃好的對象

如果我們通過預置方案甚至可以不必為cluadmin授予創建計算機的權限，因為創建計算機的操作會事先由AD管理員進行。

預置CNO對象操作步驟

AD管理員按照 群集管理員 告知的名稱 創建計算機對象 并禁用

點擊計算機對象->屬性->安全賦予cluadmin賬戶對于CNO對象具備完全控制權限

如果接下來群集還需要創建VCO對象，那么您有兩種方案可以選擇

1. 手動賦予CNO對象對于所在OU具備 創建計算機對象 及 讀取所有屬性權限，應用于范圍此對象”和“所有后代”

2. 預置VCO對象

由于手動賦予權限的辦法我們上面已經做過，所以這里不再演示，唯一區別在于如果不預置，我們需要等待創建完成群集后，再次賦予CNO創建VCO的權限，使用預置我們可以直接一次做掉交付給群集管理員。

預置VCO對象操作步驟

創建VCO計算機對象并禁用

賦予CNO計算機對象對于VCO計算機對象具備完全控制權限

賦予CNO對象對于DNS區域具備修改及創建權限

按照規劃好的名稱創建群集

檢測到使用的cluadmin賬戶已經賦予對目標CNO對象具備完全控制權限，自動聯機激活之前已被創建好的禁用CNO計算機賬戶

DNS記錄也已經得到正確注冊

按照事先規劃好的名稱創建DTC VCO對象

群集檢測到當前VCO對象存在 且CNO對象對于VCO對象具備權限 將自動聯機啟動預置VCO對象

VCO DNS記錄也得到正確創建

回顧一下WSFC傳統AD模型的權限需求

1. 創建群集的執行賬戶要求是各節點本地管理員

2. 創建群集的賬戶需要對目標OU具備創建計算機對象 及 讀取所有屬性權限 

3. 創建VCO的CNO對象需要對所在OU具備創建計算機對象 及 讀取所有屬性權限

4. 創建VCO的CNO對象需要對DNS區域具備創建修改權限

5. 確認CNO對象對VCO對象具備重設密碼權限默認情況下通過CNO創建的VCO具備

只要滿足這五個條件，我們就可以創建一個正常的AD依賴群集及上層應用。

如果采用預置對象的方案，我們可以不用授予創建群集執行賬戶權限與CNO對于OU的權限，直接賦予創建群集執行賬戶具備CNO完全控制權限，授予CNO對于VCO具備完全控制權限即可，DNS區域權限仍需賦予但使用預置對象方案讓WSFC AD權限對象更加合規化

以上為老王實際驗證而得對于傳統WSFC群集AD權限的需求處理，以及如何使用最小化權限實現WSFC權限需求，希望能夠為感興趣的朋友帶來收獲