Skip to main content
SnapCenter Software 5.0
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurez GMSA sur Windows Server 2012 ou version ultérieure

Contributeurs

Windows Server 2012 ou version ultérieure vous permet de créer un compte de service géré de groupe (GMSA) qui fournit une gestion automatisée des mots de passe de compte de service à partir d'un compte de domaine géré.

Avant de commencer
  • Vous devez disposer d'un contrôleur de domaine Windows Server 2012 ou version ultérieure.

  • Vous devez disposer d'un hôte Windows Server 2012 ou version ultérieure, qui est membre du domaine.

Étapes
  1. Créez une clé racine KDS pour générer des mots de passe uniques pour chaque objet de votre GMSA.

  2. Pour chaque domaine, exécutez la commande suivante à partir du contrôleur de domaine Windows : Add-KDSRootKey -EffectiveImmediely

  3. Créez et configurez votre GMSA :

    1. Créez un compte de groupe d'utilisateurs au format suivant :

       domainName\accountName$
      .. Ajouter des objets d'ordinateur au groupe.
      .. Utilisez le groupe d'utilisateurs que vous venez de créer pour créer le GMSA.

      Par exemple :

       New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…>
      .. Courez `Get-ADServiceAccount` pour vérifier le compte de service.
  4. Configurez le GMSA sur vos hôtes :

    1. Activez le module Active Directory pour Windows PowerShell sur l'hôte sur lequel vous souhaitez utiliser le compte GMSA.

      Pour ce faire lancer la commande suivante depuis PowerShell :

    PS C:\> Get-WindowsFeature AD-Domain-Services
    
    Display Name                           Name                Install State
    ------------                           ----                -------------
    [ ] Active Directory Domain Services   AD-Domain-Services  Available
    
    
    PS C:\> Install-WindowsFeature AD-DOMAIN-SERVICES
    
    Success Restart Needed Exit Code      Feature Result
    ------- -------------- ---------      --------------
    True    No             Success        {Active Directory Domain Services, Active ...
    WARNING: Windows automatic updating is not enabled. To ensure that your newly-installed role or feature is
    automatically updated, turn on Windows Update.
    1. Redémarrez votre hôte.

    2. Installez GMSA sur votre hôte en exécutant la commande suivante à partir de l'invite de commande PowerShell : Install-AdServiceAccount <gMSA>

    3. Vérifiez votre compte GMSA en exécutant la commande suivante : Test-AdServiceAccount <gMSA>

  5. Attribuez les privilèges d'administration au GMSA configuré sur l'hôte.

  6. Ajoutez l'hôte Windows en spécifiant le compte GMSA configuré dans le serveur SnapCenter.

    Le serveur SnapCenter installe les plug-ins sélectionnés sur l'hôte et le GMSA spécifié sera utilisé comme compte de journal de service lors de l'installation du plug-in.