组托管服务帐户

Windows Server 2008 R2 中引入了托管服务帐户 (MSA),用于自动管理(更改)服务帐户的密码。使用 MSA,您可以大大降低运行系统服务的系统帐户被泄露的风险。MSA 有一个主要问题,即此类服务帐户只能在一台计算机上使用。这意味着 MSA 服务帐户无法与群集或 NLB 服务一起使用,这些服务在多个服务器上同时运行并使用相同的帐户和密码。为了解决这个问题,Microsoft在 Windows Server 2012 中添加了组托管服务帐户 (gMSA)功能。

要创建 gMSA,我们应该遵循以下步骤 -

步骤 1 - 创建 KDS 根密钥。DC 上的 KDS 服务使用它来生成密码。

KDS服务

要立即在测试环境中使用密钥,您可以运行 PowerShell 命令 -

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

要检查它是否创建成功,我们运行 PowerShell 命令 -

Get-KdsRootKey

步骤 2 - 创建和配置 gMSA → 打开 Powershell 终端并输入 -

新建 – ADServiceAccount –名称 gmsa1 – DNSHostNamedc1.example.com –PrincipalsAllowedToRetrieveManagedPassword“gmsa1Group”

其中,

  • gmsa1是要创建的 gMSA 帐户的名称。

  • dc1.example.com是 DNS 服务器名称。

  • gmsa1Group是活动目录组,其中包括必须使用的所有系统。该组应先在组中创建。

要检查它,请转至 → 服务器管理器 → 工具 → Active Directory 用户和计算机 → 托管服务帐户。

托管服务帐户

步骤 3 - 要在服务器上安装 gMA → 打开 PowerShell 终端并输入以下命令 -

  • 安装 - ADServiceAccount - 身份 gmsa1
  • 测试 - ADServiceAccount gmsa1

运行第二个命令后,结果应该为“True”,如下面的屏幕截图所示。

真的

步骤 4 - 转到服务属性,指定该服务将使用gMSA 帐户运行。在“登录”选项卡的“此帐户”框中,键入服务帐户的名称。名称末尾使用符号$,无需指定密码。保存更改后,必须重新启动服务。

登录

该帐户将获得“作为服务登录”并且密码将自动检索。