Windows Server 2012 以降で gMSA を構成します
変更を提案
PDF
Windows Server 2012 以降では、管理ドメインアカウントからサービスアカウントパスワードの自動管理を提供するグループマネージドサービスアカウント( gMSA )を作成できます。
-
Windows Server 2012 以降のドメインコントローラが必要です。
-
ドメインのメンバーである Windows Server 2012 以降のホストが必要です。
-
GMSA のオブジェクトごとに固有のパスワードを生成するには、 KDS ルートキーを作成します。
-
ドメインごとに、 Windows ドメインコントローラから次のコマンドを実行します。 Add-KDSRootKey -EffectiveImmedient
-
GMSA を作成して構成します。
-
次の形式でユーザグループアカウントを作成します。
domainName\accountName$ .. グループにコンピュータオブジェクトを追加します。 .. 作成したユーザグループを使用して gMSA を作成します。
例:
New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…> .. を実行します `Get-ADServiceAccount` サービスアカウントを確認するコマンド。
-
-
ホストで gMSA を設定します。
-
gMSA アカウントを使用するホストで、 Windows PowerShell 用の Active Directory モジュールを有効にします。
そのためには、 PowerShell から次のコマンドを実行します。
PS C:\> Get-WindowsFeature AD-Domain-Services Display Name Name Install State ------------ ---- ------------- [ ] Active Directory Domain Services AD-Domain-Services Available PS C:\> Install-WindowsFeature AD-DOMAIN-SERVICES Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Active Directory Domain Services, Active ... WARNING: Windows automatic updating is not enabled. To ensure that your newly-installed role or feature is automatically updated, turn on Windows Update.-
ホストを再起動します。
-
PowerShellコマンドプロンプトから次のコマンドを実行して、ホストにgMSAをインストールします。
Install-AdServiceAccount <gMSA> -
次のコマンドを実行して'gMSAアカウントを確認します
Test-AdServiceAccount <gMSA>
-
-
ホスト上で設定されている gMSA に管理者権限を割り当てます。
-
SnapCenter サーバで設定済みの gMSA アカウントを指定して、 Windows ホストを追加します。
SnapCenter サーバーは選択されたプラグインをホストにインストールし、指定された gMSA はプラグインのインストール時にサービスログオンアカウントとして使用されます。