📅  最后修改于: 2020-11-19 09:35:46             🧑  作者: Mango
Windows Server 2008 R2中引入了托管服务帐户(MSA),以自动管理(更改)服务帐户的密码。使用MSA,可以大大降低运行系统服务的系统帐户受到威胁的风险。 MSA有一个主要问题,那就是仅在一台计算机上使用这种服务帐户。这意味着MSA服务帐户不能与群集或NLB服务一起使用,群集或NLB服务在多个服务器上同时运行并且使用相同的帐户和密码。为解决此问题,Microsoft向Windows Server 2012添加了组托管服务帐户(gMSA)功能。
要创建gMSA,我们应遵循以下步骤-
步骤1-创建KDS根密钥。 DC上的KDS服务使用它来生成密码。
要在测试环境中立即使用密钥,可以运行PowerShell命令-
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
为了检查它是否成功创建,我们运行PowerShell命令-
Get-KdsRootKey
步骤2-要创建和配置gMSA→打开Powershell终端并输入-
新增– ADServiceAccount –名称gmsa1 – DNSHostNamedc1.example.com – PrincipalsAllowedToRetrieveManagedPassword“ gmsa1Group”
在其中
gmsa1是要创建的gMSA帐户的名称。
dc1.example.com是DNS服务器名称。
gmsa1Group是活动目录组,其中包括所有必须使用的系统。该组应在组中之前创建。
要检查它,请转到→服务器管理器→工具→Active Directory用户和计算机→托管服务帐户。
步骤3-要在服务器上安装gMA→打开PowerShell终端并键入以下命令-
运行第二条命令后,结果应为“ True”,如以下屏幕截图所示。
步骤4-转到服务属性,指定该服务将使用gMSA帐户运行。在“登录”选项卡的“此帐户”框中,键入服务帐户的名称。名称末尾使用符号$。 ,则无需指定密码。保存更改后,必须重新启动服务。
该帐户将获得“作为服务登录”,并且密码将自动检索。