Créer un compte de service géré de groupe

Cette rubrique explique comment créer un compte de service géré de groupe (gMSA) dans le service géré pour Microsoft Active Directory. Il est recommandé de suivre les instructions standards pour configurer le compte et intégrer les considérations spéciales suivantes pour le service Microsoft AD géré.

Ne créez pas de clé racine KDS

En général, la première fois que vous créez un compte gMSA dans un domaine, vous devez générer une clé racine KDS (Key Distribution Service). Le service Microsoft AD géré génère une clé racine KDS pour vous lorsque vous créez le domaine, vous pouvez donc ignorer cette étape des instructions standards.

Afficher la clé racine KDS

Avant de commencer, assurez-vous que l'outil Sites et services Active Directory est installé à partir des outils d'administration du serveur distant (RSAT).

Pour afficher la clé racine KDS, procédez comme suit:

  1. Sous Windows, lancez l'outil Sites et services Active Directory. Pour lancer cet outil, vous pouvez ouvrir la boîte de dialogue de commande Exécuter, puis saisir dssite.msc.
  2. Dans l'outil Sites et services Active Directory, sélectionnez l'onglet Affichage.
  3. Dans le menu Affichage, sélectionnez Afficher le nœud des services.
  4. Dans le volet gauche, sélectionnez Services > Service de distribution de clés de groupe > Clés racine principales.
  5. Le volet droit affiche une liste de clés pour votre domaine. Sélectionnez une clé pour en afficher les détails.

Notez que l'exécution du cmdlet PowerShell Get-KdsRootKey renvoie une réponse vide même s'il existe une clé racine KDS valide. Vous ne pouvez voir la clé que si vous exécutez le cmdlet Get-KdsRootKey en tant qu'administrateur du domaine.

Créer un compte sous le conteneur Managed Service Accounts

Pour un domaine Microsoft AD géré, de nouveaux comptes gMSA doivent être créés dans le conteneur Managed Service Accounts. Par défaut, le cmdlet New-ADServiceAccount crée les nouveaux comptes gMSA à cet emplacement. Pour en savoir plus, consultez la section sur le cmdlet New-ADServiceAccount.

Déléguer l'administration de Managed Service Accounts

Vous pouvez déléguer l'administration du conteneur Managed Service Accounts à un utilisateur en l'ajoutant au groupe Cloud Service Managed Service Account Administrators. Pour en savoir plus sur les groupes créés pour vous par le service Microsoft AD géré, consultez la page Groupes.