Crie uma conta de serviço gerida por grupo

Este tópico mostra como criar uma conta de serviço gerida (gMSA) no serviço gerido para o Microsoft Active Directory. Deve seguir estas instruções padrão para configurar a conta e incorporar as seguintes considerações especiais para o Microsoft AD gerido.

Não crie a chave principal do KDS

Normalmente, quando cria uma gMSA num domínio pela primeira vez, tem de gerar uma chave principal do serviço de distribuição de chaves (KDS). O Microsoft AD gerido gera uma chave principal do KDS para si quando cria o domínio, pelo que pode ignorar esse passo das instruções padrão.

Veja a chave principal do KDS

Antes de começar, certifique-se de que a ferramenta Sites e serviços do Active Directory está instalada a partir das ferramentas de administração do servidor remoto (RSAT).

Para ver a chave principal do KDS, conclua os seguintes passos:

  1. No Windows, inicie a ferramenta Active Directory Sites and Services (Sites e serviços do Active Directory). Para iniciar esta ferramenta, pode abrir a caixa de diálogo do comando Executar e, de seguida, introduzir dssite.msc.
  2. Na ferramenta Active Directory Sites and Services, selecione o separador Ver.
  3. No menu Ver, selecione Mostrar nó de serviços.
  4. No painel do lado esquerdo, selecione Serviços > Serviço de distribuição de chaves de grupo > Chaves principais.
  5. O painel do lado direito mostra uma lista de chaves para o seu domínio. Selecione uma chave para ver os respetivos detalhes.

Tenha em atenção que a execução do cmdlet do PowerShell devolve uma resposta vazia, mesmo que exista uma chave principal do KDS válida.Get-KdsRootKey Só pode ver a chave quando executa o cmdlet Get-KdsRootKey como administrador do domínio.

Crie uma conta no contentor Managed Service Accounts

Para um domínio do Microsoft AD gerido, devem ser criadas novas gMSAs no contentor Managed Service Accounts. Por predefinição, o cmdlet New-ADServiceAccount cria novos gMSAs nesta localização. Para mais informações, consulte o cmdlet New-ADServiceAccount.

Delegue a administração de Managed Service Accounts

Pode delegar a administração do contentor Managed Service Accounts a um utilizador adicionando-o ao grupo Cloud Service Managed Service Account Administrators. Para mais informações sobre os grupos que o Managed Microsoft AD cria para si, consulte Grupos.