Skip to main content
È disponibile una versione più recente di questo prodotto.
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare gMSA su Windows Server 2012 o versione successiva

Collaboratori
PDF

Windows Server 2012 o versione successiva consente di creare un account di servizio gestito di gruppo (gMSA) che fornisce la gestione automatica delle password dell'account di servizio da un account di dominio gestito.

Prima di iniziare

  • È necessario disporre di un controller di dominio Windows Server 2012 o versione successiva.

  • È necessario disporre di un host Windows Server 2012 o versione successiva, membro del dominio.

Fasi

  1. Creare una chiave root KDS per generare password univoche per ogni oggetto in gMSA.

  2. Per ciascun dominio, eseguire il seguente comando dal controller di dominio Windows: Add-KDSRootKey -EffectiveImmediately

  3. Creare e configurare gMSA:

    1. Creare un account di gruppo utenti nel seguente formato:

       domainName\accountName$
.. Aggiungere oggetti computer al gruppo.
.. Utilizzare il gruppo di utenti appena creato per creare gMSA.

      Ad esempio,

       New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…>
.. Eseguire `Get-ADServiceAccount` il comando per verificare l'account del servizio.

  4. Configurare gMSA sugli host:

    1. Attivare il modulo Active Directory per Windows PowerShell sull'host in cui si desidera utilizzare l'account gMSA.

      A tale scopo, eseguire il seguente comando da PowerShell:

    PS C:\> Get-WindowsFeature AD-Domain-Services

Display Name                           Name                Install State
------------                           ----                -------------
[ ] Active Directory Domain Services   AD-Domain-Services  Available


PS C:\> Install-WindowsFeature AD-DOMAIN-SERVICES

Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Active Directory Domain Services, Active ...
WARNING: Windows automatic updating is not enabled. To ensure that your newly-installed role or feature is
automatically updated, turn on Windows Update.

    1. Riavviare l'host.

    2. Installare gMSA sull'host eseguendo il comando seguente dal prompt dei comandi di PowerShell: Install-AdServiceAccount <gMSA>

    3. Verificare il proprio account gMSA eseguendo il seguente comando: Test-AdServiceAccount <gMSA>

  5. Assegnare i privilegi amministrativi al gMSA configurato sull'host.

  6. Aggiungere l'host Windows specificando l'account gMSA configurato nel server SnapCenter.

    Il server SnapCenter installerà i plug-in selezionati sull'host e il gMSA specificato verrà utilizzato come account di accesso al servizio durante l'installazione del plug-in.