이 항목에서는 Microsoft Active Directory용 관리형 서비스에서 그룹 관리형 서비스 계정(gMSA)을 만드는 방법을 보여줍니다. 계정을 설정하려면 이 표준 안내를 따라야 하며 관리형 Microsoft AD에 대해 다음과 같은 특별 고려사항을 통합해야 합니다.
KDS 루트 키를 만들지 않음
일반적으로 도메인에서 gMSA를 처음 만들 때는 KDS(Key Distribution Service) 루트 키를 생성해야 합니다. 관리형 Microsoft AD는 도메인을 만들 때 KDS 루트 키를 생성하므로 표준 안내에서 해당 단계를 건너뛸 수 있습니다.
KDS 루트 키 보기
시작하기 전에 Active Directory 사이트 및 서비스 도구가 RSAT(원격 서버 관리 도구)에서 설치되어 있는지 확인하세요.
KDS 루트 키를 보려면 다음 단계를 완료합니다.
- Windows에서 Active Directory 사이트 및 서비스 도구를 시작하세요. 이 도구를 시작하려면 실행 명령어 대화상자를 열고
dssite.msc를 입력하세요. - Active Directory 사이트 및 서비스 도구에서 보기 탭을 선택하세요.
- 보기 메뉴에서 서비스 노드 표시를 선택하세요.
- 왼쪽 창에서 서비스 > 그룹 키 배포 서비스 > 마스터 루트 키를 선택하세요.
- 오른쪽 창에 도메인의 키 목록이 표시됩니다. 세부정보를 보려면 키를 선택하세요.
유효한 KDS 루트 키가 존재하더라도 Get-KdsRootKey PowerShell cmdlet을 실행하면 빈 응답이 반환됩니다. Get-KdsRootKey cmdlet을 도메인 관리자로 실행할 때만 키를 볼 수 있습니다.
Managed Service Accounts 컨테이너에 계정 만들기
관리형 Microsoft AD 도메인의 경우 Managed Service Accounts 컨테이너 아래에 새 gMSA를 만들어야 합니다. 기본적으로 New-ADServiceAccount cmdlet은 이 위치에 새 gMSA를 만듭니다. 자세한 내용은 New-ADServiceAccountcmdlet를 참조하세요.
Managed Service Accounts의 관리 위임
Managed Service Accounts 컨테이너를 Cloud Service Managed Service Account Administrators 그룹에 추가하여 사용자에게 컨테이너 관리 권한을 위임할 수 있습니다.
관리형 Microsoft AD에서 만든 그룹에 대한 자세한 내용은 그룹을 참조하세요.