Skip to main content
SnapCenter software
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar o gMSA no Windows Server 2016 ou posterior

PDFs

O Windows Server 2016 ou posterior permite que você crie uma Conta de Serviço Gerenciada de grupo (gMSA) que fornece gerenciamento automatizado de senhas de contas de serviço a partir de uma conta de domínio gerenciada.

Antes de começar

  • Você deve ter um controlador de domínio do Windows Server 2016 ou posterior.

  • Você deve ter um host Windows Server 2016 ou posterior, que seja membro do domínio.

Passos

  1. Crie uma chave raiz do KDS para gerar senhas exclusivas para cada objeto no seu gMSA.

  2. Para cada domínio, execute o seguinte comando no controlador de domínio do Windows: Add-KDSRootKey -EffectiveImmediately

  3. Crie e configure seu gMSA:

    1. Crie uma conta de grupo de usuários no seguinte formato:

       domainName\accountName$
.. Adicione objetos de computador ao grupo.
.. Use o grupo de usuários que você acabou de criar para criar o gMSA.

      Por exemplo,

       New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…>
.. Correr `Get-ADServiceAccount` comando para verificar a conta de serviço.

  4. Configure o gMSA em seus hosts:

    1. Habilite o módulo do Active Directory para Windows PowerShell no host onde você deseja usar a conta gMSA.

      Para fazer isso, execute o seguinte comando no PowerShell:

    PS C:\> Get-WindowsFeature AD-Domain-Services

Display Name                           Name                Install State
------------                           ----                -------------
[ ] Active Directory Domain Services   AD-Domain-Services  Available


PS C:\> Install-WindowsFeature AD-DOMAIN-SERVICES

Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Active Directory Domain Services, Active ...
WARNING: Windows automatic updating is not enabled. To ensure that your newly-installed role or feature is
automatically updated, turn on Windows Update.

    1. Reinicie seu host.

    2. Instale o gMSA no seu host executando o seguinte comando no prompt de comando do PowerShell: Install-AdServiceAccount <gMSA>

    3. Verifique sua conta gMSA executando o seguinte comando: Test-AdServiceAccount <gMSA>

  5. Atribua privilégios administrativos ao gMSA configurado no host.

  6. Adicione o host do Windows especificando a conta gMSA configurada no SnapCenter Server.

    O SnapCenter Server instalará os plug-ins selecionados no host e o gMSA especificado será usado como a conta de logon de serviço durante a instalação do plug-in.