Criar uma conta de serviço gerenciada para grupo

Neste tópico, mostramos como criar uma conta de serviço gerenciada para um grupo (gMSA) no Serviço Gerenciado para Microsoft Active Directory. Siga estas instruções padrão para configurar a conta e incorporar as considerações especiais a seguir para o Managed Microsoft AD.

Não criar chave raiz do KDS

Geralmente, na primeira vez que você cria um gMSA em um domínio, é necessário gerar uma chave raiz do Serviço de Distribuição de Chaves (KDS). O Managed Microsoft AD gera uma chave raiz do KDS para você ao criar o domínio, para permitir que pule essa etapa das instruções padrão.

Ver a chave raiz do KDS

Antes de começar, certifique-se de que a ferramenta Sites e Serviços do Active Directory esteja instalada nas Ferramentas de Administração de Servidor Remoto (RSAT, na sigla em inglês).

Para visualizar a chave raiz do KDS, siga estas etapas:

  1. No Windows, inicie a ferramenta Sites e Serviços do Active Directory. Para iniciar essa ferramenta, abra a caixa de diálogo do comando Executar e digite dssite.msc.
  2. Na ferramenta Sites e Serviços do Active Directory, selecione a guia Visualizar.
  3. No menu Visualizar, selecione Mostrar nó de serviços.
  4. No painel esquerdo, selecione Serviços > Serviço de Distribuição de Chaves de Grupo > Chaves Raiz Principais.
  5. O painel à direita mostra uma lista de chaves do seu domínio. Selecione uma chave para ver os detalhes dela.

Observe que a execução do cmdlet PowerShell Get-KdsRootKey retorna uma resposta vazia, mesmo que exista uma chave raiz válida do KDS. Só é possível ver a chave ao executar o cmdlet Get-KdsRootKey como administrador do domínio.

Criar conta no contêiner Managed Service Accounts

Para um domínio do Microsoft AD gerenciado, é preciso criar novos gMSAs no contêiner Managed Service Accounts. Por padrão, o cmdlet New-ADServiceAccount cria novas gMSAs nesse local. Para mais informações, consulte cmdlet New-ADServiceAccount.

Delegar administração de Managed Service Accounts

Você pode delegar a administração do contêiner Managed Service Accounts a um usuário adicionando-o ao grupo Cloud Service Managed Service Account Administrators. Para mais informações sobre os grupos que o Microsoft AD gerenciado cria para você, consulte Grupos.