WSFC AD权限规划

    长久以来老王一直发现一个问题，彷佛有不少人对于WSFC群集的权限存在一些误解，觉得只有域administrator才能够装，或者要Domain admins才能够装

    其实WSFC的安装并不须要那么大的权限，在本文中老王将为你们分享WSFC AD权限规划，咱们将尽量采用最小化权限的原则来进行设计。

    主要围绕两种场景

     1.最小化权限

     2.预先置备CNO

   以前博客中也曾经和你们提到过群集的建立过程，以WSFC 2012时代以后为例，当咱们输入群集名称后，群集会使用咱们当前的执行帐号去AD里面建立CNO对象，去DNS中建立CNO DNS记录，默认状况下AD里面的普通用户也能够去DNS中注册记录，因此对于CNO的DNS记录咱们不用Care，咱们须要关心的就是CNO的权限与VCO的权限。

    首先建立一个群集用户cluadmin 权限默认

将该帐户经过组策略下发也好或手动添加也好加入到群集各节点本地管理员组

这是第一个要添加的权限由于执行建立群集向导必需要本地管理员权限才能够

第一步作完以后咱们接着来思考，既然你建立群集向导要连到AD建立CNO，那么确定是须要对AD有写入权限吧，这个写入的权限其实并不须要直接给赋予domain admins 或enterprise admins那么大的权限，群集管理帐户或群集管理帐户组只须要对于OU具有 建立计算机对象 及 读取全部属性 权限便可建立CNO对象完成须要的工做。

在2008时代建立CNO默认只会在默认计算机OU生成，WSFC 2012时×××始默认状况下将跟随节点，在群集节点计算机对象所在OU建立CNO，咱们也能够在建立群集过程当中指定要把CNO建立到具体哪一个OU下面，后面老王会为你们演示。

打开ADUC -> 选定CNO要被生成在的OU -> 属性 -> 安全

添加cluadmin 赋予 建立计算机对象 及 读取全部属性权限

到这里对于咱们建立CNO对象的最小权限设计就已经完成了，这就是建立群集这一步所须要的权限，如今咱们在群集节点上使用cluadmin用户登陆就能够在指定的OU下面建立CNO

能够看到在WSFC 2012以后支持建立群集CNO在指定OU下

建立完成后能够正常看到CNO及DNS记录

事件管理器中能够看到并没有报错，群集获得了正常的生成

到这里咱们使用最小化权限完成了WSFC群集的搭建

那么下一步咱们须要在WSFC上面跑应用建立VCO，以前咱们说过VCO的建立管理是由CNO来负责，那么咱们还须要在OU上面赋予CNO计算机帐户建立VCO的权限。

一样CNO只须要对于OU的 建立计算机对象 及 读取全部属性权限，由于从2012开始VCO默认和CNO建立在相同OU下，因此咱们只要对CNO所在OU赋予CNO的权限便可。

除了AD外VCO还须要DNS记录，VCO的DNS记录也是由CNO负责建立维护，所以须要确保CNO计算机帐户对于DNS区域有 修改权限 建立权限，删除权限可选，如不选择到时可能需手动清理CNO DNS记录。

赋予完成CNO的OU权限和DNS权限后，下面建立VCO发现已经能够正常写入AD和DNS

到这里咱们就经过了最小化的权限来成功的建立了群集而且完成了群集上层的应用搭建，这就是群集建立起来所须要的全部权限   That's it That's all 

让咱们来总结下

• 对于群集建立帐户要求是各节点本地管理组成员

• 建立计算机对象 及 读取全部属性权限

• 群集CNO对于所在OU具有建立计算机对象 及 读取全部属性权限

• 群集CNO对于DNS区域具有建立记录修改记录权限

• CNO对象对VCO对象需具有重设密码权限默认状况下经过CNO建立的VCO具有该权限

从此您再建立群集再也不须要每次都使用administrator或domain admins，您能够经过这样权限更小的帐号来完成建立群集的工做。

不过这种模式虽然安全了一点 但也有它随之带来的麻烦即AD管理员须要为群集赋予权限两次

1. 赋予建立群集的用户权限

2. 群集建立完成后赋予CNO权限

这里的关键在于，一旦咱们选择了这种模型就表明了AD管理员信赖群集管理员把群集建立的工做交给了群集管理员完成，我能够给它这样低的权限，它也能够完成工做，这很好，对于AD管理员来讲这比之前让他们使用administrator好多了，可是每次须要赋予两次权限这个或多或少都有一点麻烦，由于第二步CNO对象的权限赋予 只有在建立完成群集后才能产生CNO

因此~ 除了这种传统方式外咱们还有预置群集计算机帐号的方式

传统方式下是由AD管理员赋予个权限而后让群集管理员连到AD建立

经过预置咱们能够事先就在AD里面建立好CNO对象

例如，群集管理员把要创建的群集名称告诉AD管理员，AD管理员事先在某个规划好的OU下面建立CNO计算机对象 并禁用。

以后群集管理员建立群集时，直接链接到AD，自动激活启用事先建立好的CNO对象。

AD管理员也能够事先就把CNO建立VCO的OU权限赋予好，由于CNO已经预置好了，这样只须要赋予一次权限就能够了，也更加省事。

这种预置方案特别适合那些对于建立变动要求严格的地方，要求一切都按照事先规划好的完成，那么预置是最好的选择了。

经过预置也减小了群集管理员误操做的风险，一切都使用事先规划好的对象

若是咱们经过预置方案甚至能够没必要为cluadmin授予建立计算机的权限，由于建立计算机的操做会事先由AD管理员进行。

预置CNO对象操做步骤

AD管理员按照 群集管理员 告知的名称 建立计算机对象 并禁用

点击计算机对象->属性->安全赋予cluadmin帐户对于CNO对象具有彻底控制权限

若是接下来群集还须要建立VCO对象，那么您有两种方案能够选择

1. 手动赋予CNO对象对于所在OU具有 建立计算机对象 及 读取全部属性权限，应用于范围此对象”和“全部后代”

2. 预置VCO对象

因为手动赋予权限的办法咱们上面已经作过，因此这里再也不演示，惟一区别在于若是不预置，咱们须要等待建立完成群集后，再次赋予CNO建立VCO的权限，使用预置咱们能够直接一次作掉交付给群集管理员。

预置VCO对象操做步骤

建立VCO计算机对象并禁用

赋予CNO计算机对象对于VCO计算机对象具有彻底控制权限

赋予CNO对象对于DNS区域具有修改及建立权限

按照规划好的名称建立群集

检测到使用的cluadmin帐户已经赋予对目标CNO对象具有彻底控制权限，自动联机激活以前已被建立好的禁用CNO计算机帐户

DNS记录也已经获得正确注册

按照事先规划好的名称建立DTC VCO对象

群集检测到当前VCO对象存在 且CNO对象对于VCO对象具有权限 将自动联机启动预置VCO对象

VCO DNS记录也获得正确建立

回顾一下WSFC传统AD模型的权限需求

1. 建立群集的执行帐户要求是各节点本地管理员

2. 建立群集的帐户须要对目标OU具有建立计算机对象 及 读取全部属性权限 

3. 建立VCO的CNO对象须要对所在OU具有建立计算机对象 及 读取全部属性权限

4. 建立VCO的CNO对象须要对DNS区域具有建立修改权限

5. 确认CNO对象对VCO对象具有重设密码权限默认状况下经过CNO建立的VCO具有

只要知足这五个条件，咱们就能够建立一个正常的AD依赖群集及上层应用。

若是采用预置对象的方案，咱们能够不用授予建立群集执行帐户权限与CNO对于OU的权限，直接赋予建立群集执行帐户具有CNO彻底控制权限，授予CNO对于VCO具有彻底控制权限便可，DNS区域权限仍需赋予但使用预置对象方案让WSFC AD权限对象更加合规化

以上为老王实际验证而得对于传统WSFC群集AD权限的需求处理，以及如何使用最小化权限实现WSFC权限需求，但愿可以为感兴趣的朋友带来收获