Windows-server-2012-group-managed-service-accounts
グループ管理サービスアカウント
サービスアカウントのパスワードを自動的に管理(変更)するために、管理されたサービスアカウント(MSA)がWindows Server 2008 R2に導入されました。 MSAを使用すると、システムアカウントを実行しているシステムアカウントが危険にさらされるリスクを大幅に減らすことができます。 MSAには、このようなサービスアカウントを1台のコンピューターでのみ使用するという1つの大きな問題があります。 つまり、MSAサービスアカウントは、複数のサーバーで同時に動作し、同じアカウントとパスワードを使用するクラスターサービスまたはNLBサービスでは機能しません。 これを修正するために、Microsoftは* Group Managed Service Accounts(gMSA)*の機能をWindows Server 2012に追加しました。
gMSAを作成するには、以下の手順に従う必要があります-
- ステップ1 *-KDSルートキーを作成します。 これは、DC上のKDSサービスがパスワードを生成するために使用されます。
テスト環境ですぐにキーを使用するには、PowerShellコマンドを実行することができます-
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
正常に作成されたかどうかを確認するには、PowerShellコマンドを実行します-
Get-KdsRootKey
- ステップ2 *-gMSAを作成および構成するには→Powershellターミナルを開き、次のように入力します-
新規– ADServiceAccount –名前gmsa1 – DNSHostNamedc1.example.com – PrincipalsAllowedToRetrieveManagedPassword "gmsa1Group"
その中で、
- gmsa1 は、作成するgMSAアカウントの名前です。
- dc1.example.com はDNSサーバー名です。
- gmsa1Group は、使用する必要があるすべてのシステムを含むActive Directoryグループです。 このグループは、グループ内で事前に作成する必要があります。
それを確認するには、→サーバーマネージャー→ツール→Active Directoryユーザーとコンピューター→管理されたサービスアカウントに移動します。
- ステップ3 *-サーバーにgMAをインストールするには→PowerShellターミナルを開き、次のコマンドを入力します-
- インストール-ADServiceAccount – Identity gmsa1
- テスト-ADServiceAccount gmsa1
以下のスクリーンショットに示すように、2番目のコマンドを実行すると、結果が「True」になるはずです。
ステップ4 *-サービスプロパティに移動し、 gMSAアカウント*でサービスが実行されるように指定します。 [ログオン]タブの[このアカウント]ボックスに、サービスアカウントの名前を入力します。 名前の最後に記号*$ *を使用すると、パスワードを指定する必要がありません。 変更を保存したら、サービスを再起動する必要があります。
アカウントは「サービスとしてログオン」を取得し、パスワードは自動的に取得されます。