Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Windows Server 2016以降でのgMSAの設定

共同作成者

Windows Server 2016以降では、管理対象ドメインアカウントからサービスアカウントのパスワードを自動管理するグループ管理サービスアカウント(gMSA)を作成できます。

開始する前に
  • Windows Server 2016以降のドメインコントローラが必要です。

  • ドメインのメンバーであるWindows Server 2016以降のホストが必要です。

手順
  1. KDSルートキーを作成して、gMSA内のオブジェクトごとに一意のパスワードを生成します。

  2. ドメインごとに、 Windows ドメインコントローラから次のコマンドを実行します。 Add-KDSRootKey -EffectiveImmedient

  3. gMSAを作成して設定します。

    1. 次の形式でユーザグループアカウントを作成します。

       domainName\accountName$
      .. コンピュータオブジェクトをグループに追加します。
      .. 作成したユーザグループを使用してgMSAを作成します。

      例えば、

       New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…>
      .. コマンドを実行し `Get-ADServiceAccount` てサービスアカウントを確認します。
  4. ホストでgMSAを設定します。

    1. gMSAアカウントを使用するホストで、Windows PowerShell用Active Directoryモジュールを有効にします。

      これを行うには、PowerShellから次のコマンドを実行します。

    PS C:\> Get-WindowsFeature AD-Domain-Services
    
    Display Name                           Name                Install State
    ------------                           ----                -------------
    [ ] Active Directory Domain Services   AD-Domain-Services  Available
    
    
    PS C:\> Install-WindowsFeature AD-DOMAIN-SERVICES
    
    Success Restart Needed Exit Code      Feature Result
    ------- -------------- ---------      --------------
    True    No             Success        {Active Directory Domain Services, Active ...
    WARNING: Windows automatic updating is not enabled. To ensure that your newly-installed role or feature is
    automatically updated, turn on Windows Update.
    1. ホストを再起動します。

    2. PowerShellコマンドプロンプトで次のコマンドを実行して、ホストにgMSAをインストールします。 Install-AdServiceAccount <gMSA>

    3. 次のコマンドを実行して、gMSAアカウントを確認します。 Test-AdServiceAccount <gMSA>

  5. ホスト上の設定済みgMSAに管理者権限を割り当てます。

  6. SnapCenterサーバで設定済みのgMSAアカウントを指定してWindowsホストを追加します。

    選択したプラグインがSnapCenterサーバにインストールされ、指定したgMSAがプラグインのインストール時にサービスのログオンアカウントとして使用されます。