组托管服务帐户

Windows Server 2008 R2 中引入了托管服务帐户 (MSA)，用于自动管理（更改）服务帐户的密码。使用 MSA，您可以大大降低运行系统服务的系统帐户受到威胁的风险。MSA 有一个主要问题，即此类服务帐户只能在一台计算机上使用。这意味着 MSA 服务帐户不能与群集或 NLB 服务一起使用，这些服务同时在多台服务器上运行并使用相同的帐户和密码。为了解决这个问题，微软在Windows Server 2012 中添加了组托管服务帐户 (gMSA)的功能。

要创建 gMSA，我们应该按照以下步骤操作 –

步骤 1 – 创建 KDS 根密钥。DC 上的 KDS 服务使用它来生成密码。

要在测试环境中立即使用密钥，您可以运行 PowerShell 命令 –

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)) 

要检查它是否创建成功，我们运行 PowerShell 命令 –

Get-KdsRootKey 

第 2 步– 创建和配置 gMSA → 打开 Powershell 终端并输入 –

新 – ADServiceAccount – 名称 gmsa1 – DNSHostNamedc1.example.com – PrincipalsAllowedToRetrieveManagedPassword “gmsa1Group”

其中，

• gmsa1是要创建的 gMSA 帐户的名称。

• dc1.example.com是 DNS 服务器名称。

• gmsa1Group是活动目录组，其中包括必须使用的所有系统。这个组应该在组之前创建。

要检查它，请转到 → 服务器管理器 → 工具 → Active Directory 用户和计算机 → 托管服务帐户。

第 3 步– 在服务器上安装 gMA → 打开 PowerShell 终端并输入以下命令 –

• 安装 – ADServiceAccount – 身份 gmsa1
• 测试 – ADServiceAccount gmsa1

运行第二个命令后，结果应该为“真”，如下面的屏幕截图所示。

第 4 步– 转到服务属性，指定服务将使用gMSA 帐户运行。在“登录”选项卡的“此帐户”框中键入服务帐户的名称。在名称末尾使用符号&dollar，不需要指定密码。保存更改后，必须重新启动该服务。

该帐户将获得“作为服务登录”，密码将被自动检索。