管理サービスアカウント(MSA) - 管理サービスアカウント - は、サービスアカウントのパスワードを自動的に管理(または変更)するためにWindows Server 2008 R2で導入されました。 MSAを使用すると、システムアカウントが侵害されたサービスを実行するリスクを大幅に減らすことができます。 MSAには、コンピュータでしか使用できない大きな弱点があります。つまり、MSAサービスアカウントはNLBサービスグループと連携できません(複数のサーバーで同時に操作し、同じアカウントとパスワードを使用する)。これを解決するために、マイクロソフトは、グループ管理サービスアカウント(gMSA) - 管理された管理サービスアカウントをWindows Server 2012に追加しました。
gMSAを作成するには、以下の手順に従います。
手順1 - DC上のKDSサービスを使用してパスワードを作成するKDSルートキーを作成します。
テスト環境ですぐにキーを使用するには、PowerShellコマンドを実行します。
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
正常に作成されたかどうかを確認するには、PowerShellコマンドを実行します。
Get-KdsRootKey
ステップ2 - gMSA→Open Powershell端末を作成して構成するには、次のように入力します。
新規 - ADServiceAccount - 名前gmsa1 - DNSHostNamedc1.example.com - PrincipalsAllowedToRetrieveManagedPassword "gmsa1Group"
内部、
- gmsa1は、作成されたgMSAアカウントの名前です。
- dc1.example.comはDNSサーバー名です。
- gmsa1Groupは、使用中のすべてのシステムを含むアクティブディレクトリグループです。このグループはGroupsで事前に作成されている必要があります。
サーバーマネージャ→ツール→Active Directoryユーザーとコンピュータ→管理されたサービスアカウントの順にクリックします。
ステップ3 - サーバーにgMAをインストールするには→PowerShell端末を開き、次のコマンドを入力します。
下のスクリーンショットに示すように、2番目のコマンドを実行した後の結果は「True」になります。
ステップ4 - サービスのプロパティに移動し、サービスをgMSAアカウントで実行するように指定します。 [ログオン]タブの[アカウント]ボックスに、サービスアカウント名を入力します。名前の最後に追加の記号$を入力します。パスワードを入力する必要はありません。変更を保存したら、サービスを再起動してください。
アカウントに「サービスとしてログオン」というメッセージが表示され、パスワードが自動的に取得されます。
続きを見る:
コメント
コメントを投稿