Criar uma conta de serviço gerenciada para o grupo

Neste tópico, mostramos como criar uma conta de serviço gerenciada para um grupo (gMSA) no Serviço Gerenciado para Microsoft Active Directory. Siga estas instruções padrão para configurar a conta e incorpore as considerações especiais a seguir para o Managed Microsoft AD.

Não criar chave raiz do KDS

Geralmente, na primeira vez que você cria um gMSA em um domínio, é necessário gerar uma chave raiz do Serviço de Distribuição de Chaves (KDS). O Managed Microsoft AD gera uma chave raiz do KDS para você ao criar o domínio, para permitir que pule essa etapa das instruções padrão.

Conferir a chave raiz do KDS

Antes de começar, verifique se a ferramenta Serviços e Sites do Active Directory está instalada com as Ferramentas de Administração de Servidor Remoto (RSAT).

Para conferir a chave raiz do KDS, siga estas etapas:

  1. No Windows, inicie a ferramenta Sites e Serviços do Active Directory. Para iniciar essa ferramenta, abra a caixa de diálogo do comando Executar e digite dssite.msc.
  2. Na ferramenta Sites e Serviços do Active Directory, selecione a guia Visualizar.
  3. No menu Visualizar, selecione Mostrar nó de serviços.
  4. No painel esquerdo, selecione Serviços > Serviço de Distribuição de Chaves de Grupo > Chaves Raiz Principais.
  5. O painel à direita mostra uma lista de chaves do seu domínio. Selecione uma chave para ver os detalhes dela.

Observe que a execução do cmdlet PowerShell Get-KdsRootKey retorna uma resposta vazia, mesmo que exista uma chave raiz válida do KDS. Só é possível ver a chave ao executar o cmdlet Get-KdsRootKey como administrador do domínio.

Criar conta no contêiner Managed Service Accounts

Para um domínio do Managed Microsoft AD, novas gMSAs precisam ser criadas no contêiner Managed Service Accounts. Por padrão, o cmdlet New-ADServiceAccount cria novas gMSAs nesse local. Para mais informações, consulte o cmdlet New-ADServiceAccount.

Delegar a administração de Managed Service Accounts

É possível delegar a administração do contêiner Managed Service Accounts a um usuário adicionando-o ao grupo Cloud Service Managed Service Account Administrators. Para mais informações sobre os grupos que o Managed Microsoft AD cria para você, consulte Grupos.