📜  组托管服务帐户

📅  最后修改于: 2020-11-19 09:35:46             🧑  作者: Mango


Windows Server 2008 R2中引入了托管服务帐户(MSA),以自动管理(更改)服务帐户的密码。使用MSA,可以大大降低运行系统服务的系统帐户受到威胁的风险。 MSA有一个主要问题,那就是仅在一台计算机上使用这种服务帐户。这意味着MSA服务帐户不能与群集或NLB服务一起使用,群集或NLB服务在多个服务器上同时运行并且使用相同的帐户和密码。为解决此问题,Microsoft向Windows Server 2012添加了组托管服务帐户(gMSA)功能

要创建gMSA,我们应遵循以下步骤-

步骤1-创建KDS根密钥。 DC上的KDS服务使用它来生成密码。

KDS服务

要在测试环境中立即使用密钥,可以运行PowerShell命令-

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)) 

为了检查它是否成功创建,我们运行PowerShell命令-

Get-KdsRootKey 

步骤2-要创建和配置gMSA→打开Powershell终端并输入-

新增– ADServiceAccount –名称gmsa1 – DNSHostNamedc1.example.com – PrincipalsAllowedToRetrieveManagedPassword“ gmsa1Group”

在其中

  • gmsa1是要创建的gMSA帐户的名称。

  • dc1.example.com是DNS服务器名称。

  • gmsa1Group是活动目录组,其中包括所有必须使用的系统。该组应在组中之前创建。

要检查它,请转到→服务器管理器→工具→Active Directory用户和计算机→托管服务帐户。

托管服务帐户

步骤3-要在服务器上安装gMA→打开PowerShell终端并键入以下命令-

  • 安装-ADServiceAccount –身份gmsa1
  • 测试-ADServiceAccount gmsa1

运行第二条命令后,结果应为“ True”,如以下屏幕截图所示。

真正

步骤4-转到服务属性,指定该服务将使用gMSA帐户运行。在“登录”选项卡的“此帐户”框中,键入服务帐户的名称。名称末尾使用符号$。 ,则无需指定密码。保存更改后,必须重新启动服务。

登入

该帐户将获得“作为服务登录”,并且密码将自动检索。