Cette rubrique explique comment créer un compte de service géré de groupe (gMSA) dans le service géré pour Microsoft Active Directory. Il est recommandé de suivre les instructions standards pour configurer le compte et intégrer les considérations spéciales suivantes pour le service Microsoft AD géré.
Ne créez pas de clé racine KDS
En général, la première fois que vous créez un compte gMSA dans un domaine, vous devez générer une clé racine KDS (Key Distribution Service). Le service Microsoft AD géré génère une clé racine KDS pour vous lorsque vous créez le domaine, vous pouvez donc ignorer cette étape des instructions standards.
Afficher la clé racine KDS
Avant de commencer, assurez-vous que l'outil Sites et services Active Directory est installé à partir des Outils d'administration de serveur distant (RSAT).
Pour afficher la clé racine KDS, procédez comme suit:
- Sous Windows, lancez l'outil Sites et services Active Directory. Pour lancer cet outil, vous pouvez ouvrir la boîte de dialogue de commande Exécuter, puis saisir
dssite.msc
. - Dans l'outil Sites et services Active Directory, sélectionnez l'onglet Affichage.
- Dans le menu Affichage, sélectionnez Afficher le nœud des services.
- Dans le volet gauche, sélectionnez Services > Service de distribution de clés de groupe > Clés racine principales.
- Le volet droit affiche une liste de clés pour votre domaine. Sélectionnez une clé pour en afficher les détails.
Notez que l'exécution du cmdlet PowerShell Get-KdsRootKey
renvoie une réponse vide même s'il existe une clé racine KDS valide. Vous ne pouvez voir la clé que si vous exécutez le cmdlet Get-KdsRootKey
en tant qu'administrateur du domaine.
Créer un compte sous le conteneur Managed Service Accounts
Pour un domaine Microsoft AD géré, les nouveaux comptes gMSA doivent être créés sous le conteneur Managed Service Accounts
. Par défaut, le cmdlet New-ADServiceAccount
crée les nouveaux comptes gMSA à cet emplacement. Pour en savoir plus, consultez la section Cmdlet New-ADServiceAccount
.
Déléguer l'administration de Managed Service Accounts
Vous pouvez déléguer l'administration du conteneur Managed Service Accounts
à un utilisateur donné en ajoutant celui-ci au groupe Cloud Service Managed Service Account Administrators
.
Pour en savoir plus sur les groupes que Microsoft AD géré crée pour vous, consultez Groupes.