Verwaltetes Gruppendienstkonto erstellen

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

In diesem Thema wird beschrieben, wie Sie ein Managed Service Group (gSAS) unter Managed Service für Microsoft Active Directory erstellen. Folgen Sie dieser Standardanleitung zum Einrichten des Kontos und berücksichtigen Sie die folgenden besonderen Überlegungen für Managed Microsoft AD.

Erstellen Sie keinen KDS-Root-Schlüssel

In der Regel müssen Sie beim ersten Erstellen einer gSAG in einer Domain einen Key Distribution Service-Schlüssel (KDS) generieren. Verwaltetes Microsoft AD generiert einen KDS-Root-Schlüssel für Sie beim Erstellen der Domain. Sie können diesen Schritt also aus der Standardanleitung überspringen.

KDS-Root-Schlüssel ansehen

Führen Sie die folgenden Schritte aus, um den KDS-Root-Schlüssel aufzurufen.

Prüfen Sie zuerst, ob das Tool „Active Directory-Standorte und -Dienste“ von Remoteserver Administration Tools (RSAT) installiert ist.

  1. Starten Sie in Windows das Tool „Active Directory-Standorte und -Dienste“. Zum Starten dieses Tools öffnen Sie das Dialogfeld Ausführen und geben dann dssite.msc ein.
  2. Wählen Sie im Active Directory-Standorte und -Dienste den Tab Ansicht aus.
  3. Wählen Sie im Menü Ansicht die Option Dienst-Knoten anzeigen aus.
  4. Wählen Sie im linken Bereich Dienste > Gruppenschlüsselverteilungsdienst > Master-Root-Schlüssel aus.
  5. Im rechten Bereich wird eine Liste mit Schlüsseln für Ihre Domain angezeigt. Wählen Sie einen Schlüssel aus, um seine Details aufzurufen.

Beim Ausführen des Get-KdsRootKey-PowerShell-Cmdlets wird eine leere Antwort zurückgegeben, obwohl ein gültiger KDS-Root-Schlüssel vorhanden ist. Der Schlüssel wird nur angezeigt, wenn Sie das Cmdlet Get-KdsRootKey als Domainadministrator ausführen.

Konto unter Managed Service Accounts Organisationseinheit erstellen

Für eine verwaltete Microsoft AD-Domain sollten neue gMSN unter der Organisationseinheit Managed Service Accounts (OE) erstellt werden. Standardmäßig erstellt das New-ADServiceAccount-Cmdlet neue gMSNs an diesem Speicherort. Informationen zum New-ADServiceAccountCmdlet

Verwaltung verwalteter Dienstkonten delegieren

Sie können die Verwaltung von verwalteten Dienstkonten an einen Nutzer delegieren, indem Sie sie der Gruppe Cloud Service Managed Service Account Administrators hinzufügen. Weitere Informationen zu den Gruppen, die von Managed Microsoft AD für Sie erstellt werden