Configurez GMSA sur Windows Server 2012 ou version ultérieure
Windows Server 2012 ou version ultérieure vous permet de créer un compte de service géré de groupe (GMSA) qui fournit une gestion automatisée des mots de passe de compte de service à partir d'un compte de domaine géré.
-
Vous devez disposer d'un contrôleur de domaine Windows Server 2012 ou version ultérieure.
-
Vous devez disposer d'un hôte Windows Server 2012 ou version ultérieure, qui est membre du domaine.
-
Créez une clé racine KDS pour générer des mots de passe uniques pour chaque objet de votre GMSA.
-
Pour chaque domaine, exécutez la commande suivante à partir du contrôleur de domaine Windows : Add-KDSRootKey -EffectiveImmediely
-
Créez et configurez votre GMSA :
-
Créez un compte de groupe d'utilisateurs au format suivant :
domainName\accountName$ .. Ajouter des objets d'ordinateur au groupe. .. Utilisez le groupe d'utilisateurs que vous venez de créer pour créer le GMSA.
Par exemple :
New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…> .. Exécutez `Get-ADServiceAccount` la commande pour vérifier le compte de service.
-
-
Configurez le GMSA sur vos hôtes :
-
Activez le module Active Directory pour Windows PowerShell sur l'hôte sur lequel vous souhaitez utiliser le compte GMSA.
Pour ce faire lancer la commande suivante depuis PowerShell :
PS C:\> Get-WindowsFeature AD-Domain-Services Display Name Name Install State ------------ ---- ------------- [ ] Active Directory Domain Services AD-Domain-Services Available PS C:\> Install-WindowsFeature AD-DOMAIN-SERVICES Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Active Directory Domain Services, Active ... WARNING: Windows automatic updating is not enabled. To ensure that your newly-installed role or feature is automatically updated, turn on Windows Update.
-
Redémarrez votre hôte.
-
Installez le GMSA sur votre hôte en exécutant la commande suivante à partir de l'invite de commande PowerShell :
Install-AdServiceAccount <gMSA>
-
Vérifiez votre compte GMSA en exécutant la commande suivante :
Test-AdServiceAccount <gMSA>
-
-
Attribuez les privilèges d'administration au GMSA configuré sur l'hôte.
-
Ajoutez l'hôte Windows en spécifiant le compte GMSA configuré dans le serveur SnapCenter.
Le serveur SnapCenter installe les plug-ins sélectionnés sur l'hôte et le GMSA spécifié sera utilisé comme compte de journal de service lors de l'installation du plug-in.