本主题介绍如何在 Managed Service for Microsoft Active Directory 中创建组托管式服务账号 (gMSA)。您应遵循这些标准说明来设置账号,同时考量托管式 Microsoft AD 的特殊注意事项。
不创建 KDS 根密钥
通常,第一次在网域中创建 gMSA 时,您需要生成密钥分发服务 (KDS) 根密钥。在您创建网域时,托管式 Microsoft AD 会为您生成 KDS 根密钥,因此您可以跳过标准说明中的该步骤。
查看 KDS 根密钥
在开始之前,请确保已通过远程服务器管理工具 (RSAT) 安装 Active Directory 站点和服务工具。
如需查看 KDS 根密钥,请完成以下步骤:
- 在 Windows 中,启动 Active Directory 站点和服务工具。要启动该工具,您可以打开运行命令对话框,然后输入
dssite.msc。 - 在 Active Directory Sites and Services 工具中,选择 View 选项卡。
- 在 View 菜单中,选择 Show Services Node。
- 在左侧窗格中,选择 Services > Group Key Distribution Service > Master Root Keys。
- 右侧窗格会显示您的网域的密钥列表。选择一个密钥以查看其详细信息。
请注意,即使存在有效的 KDS 根密钥,运行 Get-KdsRootKey PowerShell cmdlet 也会返回空响应。只有以网域管理员身份运行 Get-KdsRootKey cmdlet 时,才能看到密钥。
在“Managed Service Accounts”容器下创建账号
对于代管式 Microsoft AD 网域,应在 Managed Service Accounts 容器下创建新的 gMSA。New-ADServiceAccount cmdlet 默认在此位置创建新的 gMSA。如需了解详情,请参阅 New-ADServiceAccountcmdlet。
委派管理“Managed Service Accounts”
您可以将用户添加到 Cloud Service Managed Service Account Administrators 群组,将 Managed Service Accounts 容器的管理工作委派给用户。如需详细了解 Managed Microsoft AD 为您创建的群组,请参阅群组。