组托管服务帐户
Windows Server 2008 R2 中引入了托管服务帐户 (MSA),用于自动管理(更改)服务帐户的密码。使用 MSA,您可以大大降低运行系统服务的系统帐户被泄露的风险。MSA 有一个主要问题,即此类服务帐户只能在一台计算机上使用。这意味着 MSA 服务帐户无法与群集或 NLB 服务一起使用,这些服务在多个服务器上同时运行并使用相同的帐户和密码。为了解决这个问题,Microsoft在 Windows Server 2012 中添加了组托管服务帐户 (gMSA)功能。
要创建 gMSA,我们应该遵循以下步骤 -
步骤 1 - 创建 KDS 根密钥。DC 上的 KDS 服务使用它来生成密码。
要立即在测试环境中使用密钥,您可以运行 PowerShell 命令 -
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
要检查它是否创建成功,我们运行 PowerShell 命令 -
Get-KdsRootKey
步骤 2 - 创建和配置 gMSA → 打开 Powershell 终端并输入 -
新建 – ADServiceAccount –名称 gmsa1 – DNSHostNamedc1.example.com –PrincipalsAllowedToRetrieveManagedPassword“gmsa1Group”
其中,
gmsa1是要创建的 gMSA 帐户的名称。
dc1.example.com是 DNS 服务器名称。
gmsa1Group是活动目录组,其中包括必须使用的所有系统。该组应先在组中创建。
要检查它,请转至 → 服务器管理器 → 工具 → Active Directory 用户和计算机 → 托管服务帐户。
步骤 3 - 要在服务器上安装 gMA → 打开 PowerShell 终端并输入以下命令 -
- 安装 - ADServiceAccount - 身份 gmsa1
- 测试 - ADServiceAccount gmsa1
运行第二个命令后,结果应该为“True”,如下面的屏幕截图所示。
步骤 4 - 转到服务属性,指定该服务将使用gMSA 帐户运行。在“登录”选项卡的“此帐户”框中,键入服务帐户的名称。名称末尾使用符号$,无需指定密码。保存更改后,必须重新启动服务。
该帐户将获得“作为服务登录”并且密码将自动检索。