Crea un account di servizio gestito di gruppo

Questo argomento mostra come creare un account di servizio gestito (gMSA) di gruppo in Managed Service for Microsoft Active Directory. Devi seguire queste istruzioni standard per configurare l'account e incorporare le seguenti considerazioni speciali per Microsoft AD gestito.

Non creare chiave radice KDS

In genere, la prima volta che crei un gMSA in un dominio, devi generare una chiave radice KDS (Key Distribution Service). Microsoft AD gestito genera automaticamente una chiave radice KDS quando crei il dominio, quindi puoi saltare questo passaggio dalle istruzioni standard.

Visualizza la chiave radice KDS

Prima di iniziare, assicurati che lo strumento Siti e servizi di Active Directory sia installato da Remote Server Administration Tools (RSAT).

Per visualizzare la chiave principale KDS, completa i seguenti passaggi:

  1. In Windows, avvia lo strumento Siti e servizi di Active Directory. Per avviare lo strumento, puoi aprire la finestra di dialogo del comando Esegui e inserire dssite.msc.
  2. Nello strumento Siti e servizi di Active Directory, seleziona la scheda Visualizza.
  3. Nel menu Visualizza, seleziona Mostra nodo servizi.
  4. Nel riquadro a sinistra, seleziona Servizi > Servizio di distribuzione chiavi di gruppo > Chiavi radice master.
  5. Il riquadro a destra mostra un elenco di chiavi per il tuo dominio. Seleziona una chiave per visualizzarne i dettagli.

Tieni presente che l'esecuzione del cmdlet di PowerShell Get-KdsRootKey restituisce una risposta vuota anche se esiste una chiave radice KDS valida. Puoi visualizzare la chiave solo quando esegui il cmdlet Get-KdsRootKey come amministratore di dominio.

Crea un account in Managed Service Accounts contenitore

Per un dominio Microsoft AD gestito, è necessario creare nuovi gMSA nel container Managed Service Accounts. Per impostazione predefinita, il Cmdlet New-ADServiceAccount crea nuovi gMSA in questa posizione. Per maggiori informazioni, consulta New-ADServiceAccountCmdlet.

Delega l'amministrazione di Managed Service Accounts

Puoi delegare l'amministrazione del contenitore Managed Service Accounts a un utente aggiungendolo al gruppo Cloud Service Managed Service Account Administrators. Per saperne di più sui gruppi che Managed Microsoft AD crea per te, vedi Gruppi.