Windows Server 2008 R2中引入了托管服务帐户(MSA)，以自动管理(更改)服务帐户的密码。使用MSA，可以大大降低运行系统服务的系统帐户受到威胁的风险。 MSA有一个主要问题，那就是仅在一台计算机上使用这种服务帐户。这意味着MSA服务帐户不能与群集或NLB服务一起使用，群集或NLB服务在多个服务器上同时运行并且使用相同的帐户和密码。为解决此问题，Microsoft向Windows Server 2012添加了组托管服务帐户(gMSA)功能。

要创建gMSA，我们应遵循以下步骤-

步骤1-创建KDS根密钥。 DC上的KDS服务使用它来生成密码。

要在测试环境中立即使用密钥，可以运行PowerShell命令-

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)) 

为了检查它是否成功创建，我们运行PowerShell命令-

Get-KdsRootKey 

步骤2-要创建和配置gMSA→打开Powershell终端并输入-

新增– ADServiceAccount –名称gmsa1 – DNSHostNamedc1.example.com – PrincipalsAllowedToRetrieveManagedPassword“ gmsa1Group”

在其中

• gmsa1是要创建的gMSA帐户的名称。

• dc1.example.com是DNS服务器名称。

• gmsa1Group是活动目录组，其中包括所有必须使用的系统。该组应在组中之前创建。

要检查它，请转到→服务器管理器→工具→Active Directory用户和计算机→托管服务帐户。

步骤3-要在服务器上安装gMA→打开PowerShell终端并键入以下命令-

• 安装-ADServiceAccount –身份gmsa1
• 测试-ADServiceAccount gmsa1

运行第二条命令后，结果应为“ True”，如以下屏幕截图所示。

步骤4-转到服务属性，指定该服务将使用gMSA帐户运行。在“登录”选项卡的“此帐户”框中，键入服务帐户的名称。名称末尾使用符号＆dollar;。 ，则无需指定密码。保存更改后，必须重新启动服务。

该帐户将获得“作为服务登录”，并且密码将自动检索。