使用系統管理員信任的證明授權 Hyper-V 主機

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

重要

從 Windows Server 2019 開始,系統管理員信任證明 (AD 模式) 已淘汰。 對於無法進行 TPM 證明的環境,請設定主機金鑰證明。 主機金鑰證明提供與 AD 模式類似的保證,而且設定更簡單。

若要在 AD 模式中授權受防護主機:

  1. 在網狀架構網域中,將 Hyper-V 主機新增至安全性群組。
  2. 在 HGS 網域中,向 HGS 註冊安全性群組的 SID。

將 Hyper-V 主機新增至安全性群組並重新啟動主機

  1. 在網狀架構網域中建立 GLOBAL 安全性群組,並新增將執行受防護 VM 的 Hyper-V 主機。 重新啟動主機以更新其群組成員資格。

  2. 使用 Get-ADGroup 取得安全性群組的安全性識別碼 (SID),並將其提供給 HGS 管理員。

    Get-ADGroup "Guarded Hosts"

    Get-AdGroup command with output

使用 HGS 註冊安全性群組的 SID

  1. 從網狀架構系統管理員取得受防護主機的安全性群組 SID,然後執行下列命令向 HGS 註冊安全性群組。 視需要針對其他群組重新執行命令。 提供群組的易記名稱。 其不需要符合 Active Directory 安全性群組名稱。

    Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"

  2. 若要確認已新增群組,請執行 Get-HgsAttestationHostGroup