Esta página foi traduzida pela API Cloud Translation.
Switch to English

Como criar uma conta de serviço gerenciada para um grupo

Neste tópico, mostramos como criar uma conta de serviço gerenciada para um grupo (gMSA) no Serviço Gerenciado para Microsoft Active Directory. Siga estas instruções padrão para configurar a conta e incorporar as considerações especiais a seguir para o Managed Microsoft AD.

Não criar chave raiz do KDS

Geralmente, na primeira vez que você cria um gMSA em um domínio, é necessário gerar uma chave raiz do Serviço de Distribuição de Chaves (KDS). O Managed Microsoft AD gera uma chave raiz do KDS para você ao criar o domínio, para permitir que pule essa etapa das instruções padrão.

Como visualizar a chave raiz do KDS

Para visualizar a chave raiz do KDS, execute as etapas a seguir.

Antes de começar, verifique se a ferramenta Serviços e Sites do Active Directory está instalada com as Ferramentas de Administração de Servidor Remoto (RSAT)

  1. No Windows, inicie a ferramenta Sites e Serviços do Active Directory. Para iniciar essa ferramenta, abra a caixa de diálogo do comando Executar e digite dssite.msc.
  2. Na ferramenta Sites e Serviços do Active Directory, selecione a guia Visualizar.
  3. No menu Visualizar, selecione Mostrar nó de serviços.
  4. No painel esquerdo, selecione Serviços > Serviço de Distribuição de Chaves de Grupo > Chaves Raiz Principais.
  5. O painel à direita mostra uma lista de chaves do seu domínio. Selecione uma chave para ver os detalhes dela.

Observe que a execução do cmdlet PowerShell Get-KdsRootKey retorna uma resposta vazia, mesmo que exista uma chave raiz válida do KDS. Só é possível ver a chave ao executar o cmdlet Get-KdsRootKey como administrador do domínio.

Criar conta em Managed Service Accounts OU

Para um domínio do Managed Microsoft AD, novas gMSAs precisam ser criadas na unidade organizacional (UO) Managed Service Accounts. Por padrão, o cmdlet New-ADServiceAccount cria novas gMSAs nesse local. Conheça o cmdlet New-ADServiceAccount

Delegar administração de contas de serviço gerenciado

É possível delegar a administração de contas de serviço gerenciado a um usuário adicionando-as ao grupo Cloud Service Managed Service Account Administrators. Conheça os grupos que o Managed Microsoft AD cria para você.