Skip to main content
SnapCenter software
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare gMSA su Windows Server 2016 o versioni successive

PDF

Windows Server 2016 o versioni successive consente di creare un account di servizio gestito di gruppo (gMSA) che fornisce la gestione automatizzata delle password degli account di servizio da un account di dominio gestito.

Prima di iniziare

  • Dovresti avere un controller di dominio Windows Server 2016 o versione successiva.

  • Dovresti avere un host Windows Server 2016 o versione successiva, che sia membro del dominio.

Passi

  1. Crea una chiave radice KDS per generare password univoche per ogni oggetto nel tuo gMSA.

  2. Per ogni dominio, eseguire il seguente comando dal controller di dominio Windows: Add-KDSRootKey -EffectiveImmediately

  3. Crea e configura il tuo gMSA:

    1. Crea un account di gruppo utenti nel seguente formato:

       domainName\accountName$
.. Aggiungere oggetti computer al gruppo.
.. Utilizzare il gruppo utenti appena creato per creare il gMSA.

      Per esempio,

       New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…>
.. Correre `Get-ADServiceAccount` comando per verificare l'account di servizio.

  4. Configurare gMSA sui tuoi host:

    1. Abilitare il modulo Active Directory per Windows PowerShell sull'host in cui si desidera utilizzare l'account gMSA.

      Per fare ciò, eseguire il seguente comando da PowerShell:

    PS C:\> Get-WindowsFeature AD-Domain-Services

Display Name                           Name                Install State
------------                           ----                -------------
[ ] Active Directory Domain Services   AD-Domain-Services  Available


PS C:\> Install-WindowsFeature AD-DOMAIN-SERVICES

Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Active Directory Domain Services, Active ...
WARNING: Windows automatic updating is not enabled. To ensure that your newly-installed role or feature is
automatically updated, turn on Windows Update.

    1. Riavvia il tuo host.

    2. Installa gMSA sul tuo host eseguendo il seguente comando dal prompt dei comandi di PowerShell: Install-AdServiceAccount <gMSA>

    3. Verifica il tuo account gMSA eseguendo il seguente comando: Test-AdServiceAccount <gMSA>

  5. Assegnare i privilegi amministrativi al gMSA configurato sull'host.

  6. Aggiungere l'host Windows specificando l'account gMSA configurato nel server SnapCenter .

    SnapCenter Server installerà i plug-in selezionati sull'host e il gMSA specificato verrà utilizzato come account di accesso al servizio durante l'installazione del plug-in.