组管理服务帐户

托管服务帐户 (MSA) 引入于 Windows Server 2008 R2，用于自动管理（更改）服务帐户的密码。使用 MSA，您可以大大降低系统帐户运行系统服务被入侵的风险。MSA 存在一个主要问题，即此类服务帐户只能在一台计算机上使用。这意味着 MSA 服务帐户不能与群集或 NLB 服务一起使用，这些服务同时在多台服务器上运行并使用相同的帐户和密码。为了解决此问题，Microsoft 将组管理服务帐户 (gMSA) 功能添加到 Windows Server 2012 中。

要创建 gMSA，我们应该按照以下步骤操作：

步骤 1 - 创建 KDS 根密钥。这由 DC 上的 KDS 服务用于生成密码。

要在测试环境中立即使用密钥，您可以运行以下 PowerShell 命令：

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)) 

要检查它是否成功创建，我们运行以下 PowerShell 命令：

Get-KdsRootKey 

步骤 2 - 创建和配置 gMSA → 打开 PowerShell 终端并输入：

New – ADServiceAccount – name gmsa1 – DNSHostName dc1.example.com – PrincipalsAllowedToRetrieveManagedPassword "gmsa1Group"

其中，

• gmsa1 是要创建的 gMSA 帐户的名称。

• dc1.example.com 是 DNS 服务器名称。

• gmsa1Group 是包含所有必须使用的系统的活动目录组。此组应在“组”中预先创建。

要检查它，请转到 → 服务器管理器 → 工具 → Active Directory 用户和计算机 → 托管服务帐户。

步骤 3 - 在服务器上安装 gMAs → 打开 PowerShell 终端并在其中输入以下命令：

• Install – ADServiceAccount – Identity gmsa1
• Test – ADServiceAccount gmsa1

运行第二个命令后，结果应为“True”，如下面的屏幕截图所示。

步骤 4 - 转到服务属性，指定服务将以gMSA 帐户运行。在登录选项卡的此帐户框中，键入服务帐户的名称。在名称末尾使用符号$，无需指定密码。保存更改后，必须重新启动服务。

该帐户将获得“以服务身份登录”权限，并且密码将自动检索。