日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Windows Server 2012 以降で gMSA を構成します

寄稿者 netapp-nsriram このページの PDF をダウンロード

Windows Server 2012 以降では、管理ドメインアカウントからサービスアカウントパスワードの自動管理を提供するグループマネージドサービスアカウント( gMSA )を作成できます。

  • 必要なもの *

  • Windows Server 2012 以降のドメインコントローラが必要です。

  • ドメインのメンバーである Windows Server 2012 以降のホストが必要です。

  • 手順 *

    1. GMSA のオブジェクトごとに固有のパスワードを生成するには、 KDS ルートキーを作成します。

    2. ドメインごとに、 Windows ドメインコントローラから次のコマンドを実行します。 Add-KDSRootKey -EffectiveImmedient

    3. GMSA を作成して構成します。

      1. ユーザグループアカウントを作成します。

      2. グループにコンピュータオブジェクトを追加します。

      3. 作成したユーザグループを使用して gMSA を作成します。

        例:

         New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…>
        .. 「 Get-ADServiceAccount 」コマンドを実行して、サービスアカウントを確認します。
    4. ホストで gMSA を設定します。

      1. gMSA アカウントを使用するホストで、 Windows PowerShell 用の Active Directory モジュールを有効にします。

        そのためには、 PowerShell から次のコマンドを実行します。

    PS C:\> Get-WindowsFeature AD-Domain-Services
    
    Display Name                           Name                Install State
    ------------                           ----                -------------
    [ ] Active Directory Domain Services   AD-Domain-Services  Available
    
    
    PS C:\> Install-WindowsFeature AD-DOMAIN-SERVICES
    
    Success Restart Needed Exit Code      Feature Result
    ------- -------------- ---------      --------------
    True    No             Success        {Active Directory Domain Services, Active ...
    WARNING: Windows automatic updating is not enabled. To ensure that your newly-installed role or feature is
    automatically updated, turn on Windows Update.
    1. ホストを再起動します。

    2. PowerShell コマンド・プロンプトの「 Install-AdServiceAccount <gMSA > 」から次のコマンドを実行して ' ホストに gMSA をインストールします

    3. 次のコマンドを実行して 'gMSA アカウントを確認します 'Test-AdServiceAccount <gMSA >

      1. ホスト上で設定されている gMSA に管理者権限を割り当てます。

      2. SnapCenter サーバで設定済みの gMSA アカウントを指定して、 Windows ホストを追加します。

        SnapCenter サーバーは選択されたプラグインをホストにインストールし、指定された gMSA はプラグインのインストール時にサービスログオンアカウントとして使用されます。