Windows Server 2012以降でのgMSAの設定
変更を提案
PDF
Windows Server 2012以降では、管理対象ドメインアカウントからサービスアカウントのパスワードを自動管理するグループ管理サービスアカウント(gMSA)を作成できます。
-
Windows Server 2012以降のドメインコントローラが必要です。
-
ドメインのメンバーであるWindows Server 2012以降のホストが必要です。
-
KDSルートキーを作成して、gMSA内のオブジェクトごとに一意のパスワードを生成します。
-
ドメインごとに、 Windows ドメインコントローラから次のコマンドを実行します。 Add-KDSRootKey -EffectiveImmedient
-
gMSAを作成して設定します。
-
次の形式でユーザグループアカウントを作成します。
domainName\accountName$ .. コンピュータオブジェクトをグループに追加します。 .. 作成したユーザグループを使用してgMSAを作成します。
例えば、
New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…> .. コマンドを実行し `Get-ADServiceAccount` てサービスアカウントを確認します。
-
-
ホストでgMSAを設定します。
-
gMSAアカウントを使用するホストで、Windows PowerShell用Active Directoryモジュールを有効にします。
これを行うには、PowerShellから次のコマンドを実行します。
PS C:\> Get-WindowsFeature AD-Domain-Services Display Name Name Install State ------------ ---- ------------- [ ] Active Directory Domain Services AD-Domain-Services Available PS C:\> Install-WindowsFeature AD-DOMAIN-SERVICES Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Active Directory Domain Services, Active ... WARNING: Windows automatic updating is not enabled. To ensure that your newly-installed role or feature is automatically updated, turn on Windows Update.-
ホストを再起動します。
-
PowerShellコマンドプロンプトで次のコマンドを実行して、ホストにgMSAをインストールします。
Install-AdServiceAccount <gMSA> -
次のコマンドを実行して、gMSAアカウントを確認します。
Test-AdServiceAccount <gMSA>
-
-
ホスト上の設定済みgMSAに管理者権限を割り当てます。
-
SnapCenterサーバで設定済みのgMSAアカウントを指定してWindowsホストを追加します。
選択したプラグインがSnapCenterサーバにインストールされ、指定したgMSAがプラグインのインストール時にサービスのログオンアカウントとして使用されます。