Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette rubrique explique comment créer un compte de service géré de groupe (gMSA) dans le service géré pour Microsoft Active Directory. Il est recommandé de suivre les instructions standards pour configurer le compte et intégrer les considérations spéciales suivantes pour le service Microsoft AD géré.
Ne créez pas de clé racine KDS
En général, la première fois que vous créez un compte gMSA dans un domaine, vous devez générer une clé racine KDS (Key Distribution Service). Le service Microsoft AD géré génère une clé racine KDS pour vous lorsque vous créez le domaine, vous pouvez donc ignorer cette étape des instructions standards.
Pour afficher la clé racine KDS, procédez comme suit:
Sous Windows, lancez l'outil Sites et services Active Directory. Pour lancer cet outil, vous pouvez ouvrir la boîte de dialogue de commande Exécuter, puis saisir dssite.msc.
Dans l'outil Sites et services Active Directory, sélectionnez l'onglet Affichage.
Dans le menu Affichage, sélectionnez Afficher le nœud des services.
Dans le volet gauche, sélectionnez Services > Service de distribution de clés de groupe > Clés racine principales.
Le volet droit affiche une liste de clés pour votre domaine. Sélectionnez une clé pour en afficher les détails.
Notez que l'exécution du cmdlet PowerShell Get-KdsRootKey renvoie une réponse vide même s'il existe une clé racine KDS valide. Vous ne pouvez voir la clé que si vous exécutez le cmdlet Get-KdsRootKey en tant qu'administrateur du domaine.
Créer un compte sous le conteneur Managed Service Accounts
Pour un domaine Microsoft AD géré, les nouveaux comptes gMSA doivent être créés sous le conteneur Managed Service Accounts. Par défaut, le cmdlet New-ADServiceAccount crée les nouveaux comptes gMSA à cet emplacement. Pour en savoir plus, consultez la section Cmdlet New-ADServiceAccount.
Déléguer l'administration de Managed Service Accounts
Vous pouvez déléguer l'administration du conteneur Managed Service Accounts à un utilisateur donné en ajoutant celui-ci au groupe Cloud Service Managed Service Account Administrators.
Pour en savoir plus sur les groupes que Microsoft AD géré crée pour vous, consultez Groupes.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[],[],null,["# Create a group Managed Service Account\n\nThis topic shows you how to create a group Managed Service Account (gMSA) in\nManaged Service for Microsoft Active Directory. You should follow\n[these standard instructions](https://docs.microsoft.com/en-us/virtualization/windowscontainers/manage-containers/manage-serviceaccounts#create-a-group-managed-service-account)\nfor setting up the account and incorporate the following special considerations\nfor Managed Microsoft AD.\n\nDo not create KDS root key\n--------------------------\n\nUsually, the first time you create a gMSA in a domain, you need to generate a\nKey Distribution Service (KDS) root key. Managed Microsoft AD generates a KDS\nroot key for you when you create the domain, so you can skip that step from\n[the standard instructions](https://docs.microsoft.com/en-us/virtualization/windowscontainers/manage-containers/manage-serviceaccounts#create-a-group-managed-service-account).\n\n### View the KDS root key\n\nBefore you begin, be sure that the Active Directory Sites and Services tool is\ninstalled from\n[Remote Server Administration Tools (RSAT)](https://support.microsoft.com/en-us/help/2693643/remote-server-administration-tools-rsat-for-windows-operating-systems).\n\nTo view the KDS root key, complete the following steps:\n\n1. In Windows, launch the Active Directory Sites and Services tool. To launch this tool, you can open the **Run** command dialog box, and then enter `dssite.msc`.\n2. In the **Active Directory Sites and Services** tool, select the **View** tab.\n3. In the **View** menu, select **Show Services Node**.\n4. In the left pane, select **Services \\\u003e Group Key Distribution Service \\\u003e Master\n Root Keys**.\n5. The right pane shows a list of keys for your domain. Select a key to view its details.\n\nNote that running the `Get-KdsRootKey` PowerShell cmdlet returns an empty\nresponse even though a valid KDS root key exists. You can only see the key when\nyou run the `Get-KdsRootKey` cmdlet as the Domain Admin.\n\nCreate account under `Managed Service Accounts` container\n---------------------------------------------------------\n\nFor a Managed Microsoft AD domain, new gMSAs should be created\nunder the `Managed Service Accounts` container. By default,\nthe `New-ADServiceAccount` cmdlet creates new gMSAs in this location. For more information, see\n[`New-ADServiceAccount`cmdlet](https://learn.microsoft.com/en-us/powershell/module/activedirectory/new-adserviceaccount?view=windowsserver2022-ps).\n\nDelegate administration of `Managed Service Accounts`\n-----------------------------------------------------\n\nYou can delegate the administration of the `Managed Service Accounts` container to a user by\nadding them to `Cloud Service Managed Service Account Administrators` group.\nFor more information about the groups that Managed Microsoft AD creates for you, see [Groups](/managed-microsoft-ad/docs/objects#groups)."]]
