首先在域控上创建一个用户组avdusers安全组

image-20220211143945927

在Azure门户上创建一个存储账户ukavdusersprofile,选择高级性能和文件共享,其他默认一直下一步开始创建

image-20220211145314239

接下来在该存储账户下创建一个文件共享目录uk-userprofile01

image-20220211145510383

配置Azure文件共享与AD启用基于标识的访问,利用自己手上的Windows电脑安装az模块

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force

替换“资源组名称”,“存储账户名称”, 运行下面Powershell 命令

$ResourceGroupName = "资源组名称"

$StorageAccountName = "存储账户名称"

New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName kerb1

Get-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -ListKerbKey | where-object{$_.Keyname -contains "kerb1"}

## 国内版是Connect-AzAccount -Environment AzureChinaCloud,国际版就是Connect-AzAccount

image-20220211145909576

在域控上创建一个azurestorage用户,密码是上图的kerb1的密钥,并设置该账户密码永不过期

image-20220211145950135

查看存储账户终结点地址

image-20220211150113559

在域控上以管理员方式运行CMD,注册SPN,运行如下命令:

setspn -S cifs/ukavdusersprofile.file.core.windows.net azurestorage

在域控上以管理员方式运行powershell,执行Get-ADDomain,获取关于相关信息

image-20220211204535878

其中,我们需要记录的项分别是DNSRootDomainSIDForestNetBIOSNAMEObjectGUID

运行命令: get-aduser azurestorage | Select-Objec -Property SID,获取SID

image-20220211204900595

根据上述信息替换如下命令中的参数,在Windows 11上继续执行如下命令

Set-AzStorageAccount `

-ResourceGroupName "资源组名称" `

-Name "存储账户名称" `

-EnableActiveDirectoryDomainServicesForFile $true `

-ActiveDirectoryDomainName "AD域名" `

-ActiveDirectoryNetBiosDomainName "AD域的NETBIOS名称" `

-ActiveDirectoryForestName "AD域林名称" `

-ActiveDirectoryDomainGuid "AD域对象GUID" `

-ActiveDirectoryDomainsid "AD域SID" `

-ActiveDirectoryAzureStorageSid "azurestorage账户SID"

image-20220211205015090

在Azure门户的存储账户中,点开文件共享,发现Active Directory项已经变为已配置,表示Azure文件共享与AD启用基于标识的访问配置成功

image-20220211205144784

在域控上新建一个域管理员账号 ike,等待同步到AAD或者打开powershell执行Start-ADSyncSyncCycle -PolicyType Delta立即同步

image-20220211205439813

下面为AD用户配置访问Azure文件共享权限:

  • avdusers组 需要Azure文件共享的参与者权限
  • ike 需要Azure文件共享的特权参与者权限

image-20220211205714355

接下来使用ike登录域控,挂载Azure文件共享作为映射盘符Z,并配置Azure文件共享的NTFS权限,那么首先需要打开存储账户中的文件共享目录uk-userprofile01,点击连接,设定映射盘符号,验证方式为AD,复制下面生成的Powershell脚本

image-20220211205749420

执行powershell脚本后就可以在网络位置看到新的共享磁盘

image-20220211210158763

右键磁盘Z,进行如下配置:

image-20220211210314191

image-20220211210428777

image-20220211210525470

下面开始配置用户配置文件漫游,在这里就需要用到FSLogix,在域控上下载 FSlogix,解压

将C:\windows目录下的PolicyDefinitions文件夹复制到C:\Windows\SYSVOL\domain\Policies目录下

复制FSLogix解压出来的fslogix.admx到C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions目录下

复制fslogix.adml复制到C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\en-US目录下

接下来打开域控的组策略管理器,新建一个组策略为FSlogix,并编辑它:

image-20220211211445631

如上图, 在计算机下的管理模板找到FSLogix, 配置Profile container.

开启如下配置

  • Set Outlook cached mode on successful container attach

  • Enabled

  • VHD location

  • Delete local profile when FSLogix Profile should apply

其中VHD Location的内容填写: \ukavdusersprofile.file.core.windows.net\uk-userprofile01 (存储账户名字和共享名字根据实际情况修改)

image-20220211211622659

如上图,在FSlogin-->Profile Containers-->Container and Directory Naming中,开启如下配置:

  • Virtual disk type (选择VHDX)

  • Swap directory name componen