Lær om gruppeadministrerte tjenestekontoer i Windows Server 2012

Administrerte tjenestekontoer (MSA) - Administrerte tjenestekontoer - ble introdusert i Windows Server 2008 R2 for automatisk å administrere (eller endre) passordene til tjenestekontoer. Ved å bruke en MSA kan du redusere risikoen betraktelig for at systemkontoer som kjører tjenester, blir kompromittert. MSA har en stor svakhet: den kan bare brukes på én datamaskin. Det betyr at MSA-tjenestekontoer ikke kan fungere med NLB-tjenestegrupper (som opererer på flere servere samtidig og bruker samme konto og passord). For å fikse dette, la Microsoft til funksjonen Group Managed Service Accounts (gMSA) til Windows Server 2012 .

For å opprette en gMSA, følg trinnene nedenfor

Trinn 1 - Opprett KDS-rotnøkkel ved å bruke KDS-tjenesten på DC for å generere passord.

For å bruke nøkkelen umiddelbart i et testmiljø, kan du kjøre PowerShell-kommandoen :

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

For å sjekke om den ble opprettet, kjør PowerShell-kommandoen:

Get-KdsRootKey

Trinn 2 - For å opprette og konfigurere gMSA → Åpne Powershell-terminal og skriv:

Ny – ADServiceAccount – navn gmsa1 – DNSHostNamedc1.example.com – PrincipalsAllowedToRetrieveManagedPassword "gmsa1Group"

der inne,

• gmsa1 er navnet på gMSA-kontoen som er opprettet.
• dc1.example.com er DNS- servernavnet .
• gmsa1Group er Active Directory-gruppen, som inkluderer alle systemer som er i bruk. Denne gruppen må først opprettes i Grupper .

For å sjekke, gå til Server Manager → Verktøy → Active Directory-brukere og datamaskiner → Administrerte tjenestekontoer .

Trinn 3 - For å installere gMA på serveren → åpne PowerShell-terminalen og skriv inn følgende kommandoer:

• Installer − ADServiceAccount – Identitet gmsa1

• Test − ADServiceAccount gmsa1

Resultatet vil si " True " etter å ha kjørt den andre kommandoen, som vist i skjermbildet gitt nedenfor:

Trinn 4 - Gå til delen Tjenesteegenskaper , spesifiser at tjenesten skal kjøres med gMSA-kontoen. I boksen Denne kontoen i Logg på -fanen skriver du inn navnet på tjenestekontoen. På slutten av navnet skriver du inn $ -symbolet , det kan hende du ikke trenger å skrive inn et passord. Etter at endringene er lagret, start tjenesten på nytt.

Kontoen vil motta et " Logg på som en tjeneste "-varsel og passordet vil automatisk bli hentet.

Se mer:

• Instruksjoner for installasjon av Windows Server 2012 i detalj trinn for trinn
• 6 måter å få tilgang til kontrollpanelet på Windows Server 2012
• Instruksjoner for å sette opp F8-tasten for å starte Windows 8 i sikkermodus