Topik ini menunjukkan cara membuat Akun Layanan Terkelola (gMSA) grup di Layanan Terkelola untuk Microsoft Active Directory. Anda harus mengikuti petunjuk standar ini untuk menyiapkan akun dan menyertakan pertimbangan khusus berikut untuk Microsoft AD Terkelola.
Jangan buat kunci root KDS
Biasanya, saat pertama kali membuat gMSA di domain, Anda perlu membuat kunci root Key Distribution Service (KDS). Microsoft AD terkelola membuat kunci root KDS untuk Anda saat membuat domain, sehingga Anda dapat melewati langkah tersebut dari petunjuk standar.
Melihat kunci root KDS
Sebelum memulai, pastikan alat Active Directory Sites and Services diinstal dari Remote Server Administration Tools (RSAT).
Untuk melihat kunci root KDS, selesaikan langkah-langkah berikut:
- Di Windows, luncurkan alat Active Directory Sites and Services. Untuk meluncurkan
alat ini, Anda dapat membuka kotak dialog perintah Run, lalu memasukkan
dssite.msc
. - Di alat Active Directory Sites and Services, pilih tab View.
- Di menu View, pilih Show Services Node.
- Di panel kiri, pilih Services > Group Key Distribution Service > Master Root Keys.
- Panel kanan menampilkan daftar kunci untuk domain Anda. Pilih tombol untuk melihat detailnya.
Perlu diketahui bahwa menjalankan cmdlet PowerShell Get-KdsRootKey
akan menampilkan respons
kosong meskipun kunci root KDS yang valid ada. Anda hanya dapat melihat kunci tersebut saat menjalankan cmdlet Get-KdsRootKey
sebagai Admin Domain.
Buat akun pada penampung Managed Service Accounts
Untuk domain Microsoft AD Terkelola, gMSA baru harus dibuat
dalam penampung Managed Service Accounts
. Secara default,
cmdlet New-ADServiceAccount
membuat gMSA baru di lokasi ini. Untuk informasi selengkapnya, lihat New-ADServiceAccount
cmdlet.
Delegasikan administrasi Managed Service Accounts
Anda dapat mendelegasikan administrasi penampung Managed Service Accounts
kepada pengguna dengan menambahkannya ke grup Cloud Service Managed Service Account Administrators
.
Untuk mengetahui informasi selengkapnya tentang grup yang dibuat Microsoft AD Terkelola untuk Anda, lihat Grup.