Создание группы безопасности для защищенных узлов и регистрация группы в HGS
Внимание
Режим AD устарел, начиная с Windows Server 2019. В средах, где аттестация TPM невозможна, настройте аттестацию ключа узла. Аттестация ключей узла обеспечивает аналогичную гарантию режима AD и упрощает настройку.
В этом разделе описаны промежуточные шаги по подготовке узлов Hyper-V к созданию защищенных узлов с помощью аттестации с доверенным администратором (режим AD). Прежде чем выполнять эти действия, выполните действия, описанные в разделе "Настройка DNS структуры для узлов, которые станут защищенными узлами".
Создание группы безопасности и добавление узлов
Создайте новую глобальную группу безопасности в домене структуры и добавьте узлы Hyper-V, которые будут запускать экранированные виртуальные машины. Перезапустите узлы, чтобы обновить членство в группе.
Используйте Get-ADGroup, чтобы получить идентификатор безопасности группы безопасности и предоставить его администратору HGS.
Get-ADGroup "Guarded Hosts"
Регистрация безопасности группы безопасности в HGS
На сервере HGS выполните следующую команду, чтобы зарегистрировать группу безопасности в HGS. При необходимости повторно выполните команду для дополнительных групп. Укажите понятное имя для группы. Не нужно соответствовать имени группы безопасности Active Directory.
Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"Чтобы убедиться, что группа была добавлена, выполните команду Get-HgsAttestationHostGroup.