Membuat Akun Layanan Terkelola grup

Topik ini menunjukkan cara membuat Akun Layanan Terkelola grup (gMSA) di Layanan Terkelola untuk Microsoft Active Directory. Anda harus mengikuti petunjuk standar ini untuk menyiapkan akun dan menyertakan pertimbangan khusus berikut untuk Managed Microsoft AD.

Jangan membuat kunci root KDS

Biasanya, saat pertama kali membuat gMSA di domain, Anda perlu membuat kunci root Key Distribution Service (KDS). Microsoft AD Terkelola membuat kunci root KDS untuk Anda saat membuat domain, sehingga Anda dapat melewati langkah tersebut dari petunjuk standar.

Melihat kunci root KDS

Sebelum memulai, pastikan alat Situs dan Layanan Active Directory diinstal dari Remote Server Administration Tools (RSAT).

Untuk melihat kunci root KDS, selesaikan langkah-langkah berikut:

  1. Di Windows, luncurkan alat Situs dan Layanan Active Directory. Untuk meluncurkan alat ini, Anda dapat membuka kotak dialog perintah Run, lalu memasukkan dssite.msc.
  2. Di alat Active Directory Sites and Services, pilih tab View.
  3. Di menu View, pilih Show Services Node.
  4. Di panel kiri, pilih Layanan > Layanan Distribusi Kunci Grup > Kunci Root Utama.
  5. Panel kanan menampilkan daftar kunci untuk domain Anda. Pilih kunci untuk melihat detailnya.

Perhatikan bahwa menjalankan cmdlet PowerShell Get-KdsRootKey akan menampilkan respons kosong walaupun kunci root KDS yang valid ada. Anda hanya dapat melihat kunci saat menjalankan cmdlet Get-KdsRootKey sebagai Admin Domain.

Membuat akun dalam penampung Managed Service Accounts

Untuk domain Managed Microsoft AD, gMSA baru harus dibuat di bawah penampung Managed Service Accounts. Secara default, cmdlet New-ADServiceAccount membuat gMSA baru di lokasi ini. Untuk mengetahui informasi selengkapnya, lihat cmdlet New-ADServiceAccount.

Mendelegasikan administrasi Managed Service Accounts

Anda dapat mendelegasikan administrasi penampung Managed Service Accounts kepada pengguna dengan menambahkannya ke grup Cloud Service Managed Service Account Administrators. Untuk informasi selengkapnya tentang grup yang dibuat Managed Microsoft AD untuk Anda, lihat Grup.