Skip to main content
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Windows Server 2012 以降で gMSA を構成します

共同作成者

Windows Server 2012 以降では、管理ドメインアカウントからサービスアカウントパスワードの自動管理を提供するグループマネージドサービスアカウント( gMSA )を作成できます。

  • 必要なもの *

  • Windows Server 2012 以降のドメインコントローラが必要です。

  • ドメインのメンバーである Windows Server 2012 以降のホストが必要です。

  • 手順 *

    1. GMSA のオブジェクトごとに固有のパスワードを生成するには、 KDS ルートキーを作成します。

    2. ドメインごとに、 Windows ドメインコントローラから次のコマンドを実行します。 Add-KDSRootKey -EffectiveImmedient

    3. GMSA を作成して構成します。

      1. 次の形式でユーザグループアカウントを作成します。

         domainName\accountName$
        .. グループにコンピュータオブジェクトを追加します。
        .. 作成したユーザグループを使用して gMSA を作成します。

        例:

         New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…>
        .. を実行します `Get-ADServiceAccount` サービスアカウントを確認するコマンド。
    4. ホストで gMSA を設定します。

      1. gMSA アカウントを使用するホストで、 Windows PowerShell 用の Active Directory モジュールを有効にします。

        そのためには、 PowerShell から次のコマンドを実行します。

    PS C:\> Get-WindowsFeature AD-Domain-Services
    
    Display Name                           Name                Install State
    ------------                           ----                -------------
    [ ] Active Directory Domain Services   AD-Domain-Services  Available
    
    
    PS C:\> Install-WindowsFeature AD-DOMAIN-SERVICES
    
    Success Restart Needed Exit Code      Feature Result
    ------- -------------- ---------      --------------
    True    No             Success        {Active Directory Domain Services, Active ...
    WARNING: Windows automatic updating is not enabled. To ensure that your newly-installed role or feature is
    automatically updated, turn on Windows Update.
    1. ホストを再起動します。

    2. PowerShellコマンドプロンプトから次のコマンドを実行して、ホストにgMSAをインストールします。 Install-AdServiceAccount <gMSA>

    3. 次のコマンドを実行して'gMSAアカウントを確認します Test-AdServiceAccount <gMSA>

      1. ホスト上で設定されている gMSA に管理者権限を割り当てます。

      2. SnapCenter サーバで設定済みの gMSA アカウントを指定して、 Windows ホストを追加します。

        SnapCenter サーバーは選択されたプラグインをホストにインストールし、指定された gMSA はプラグインのインストール時にサービスログオンアカウントとして使用されます。