Akun Layanan Terkelola Grup

Akun Layanan Terkelola (MSA) diperkenalkan di Windows Server 2008 R2 untuk secara otomatis mengelola (mengubah) sandi akun layanan. Dengan menggunakan MSA, Anda dapat sangat mengurangi risiko akun sistem yang menjalankan layanan sistem disusupi. MSA memiliki satu masalah utama yaitu penggunaan akun layanan tersebut hanya di satu komputer. Ini berarti bahwa Akun Layanan MSA tidak dapat bekerja dengan layanan cluster atau NLB, yang beroperasi secara bersamaan di beberapa server dan menggunakan akun dan kata sandi yang sama. Untuk mengatasinya, Microsoft menambahkan fiturGroup Managed Service Accounts (gMSA) ke Windows Server 2012.

Untuk membuat gMSA, kita harus mengikuti langkah-langkah di bawah ini -

Step 1- Buat Kunci Akar KDS. Ini digunakan oleh layanan KDS di DC untuk menghasilkan kata sandi.

Untuk menggunakan kunci segera di lingkungan pengujian, Anda dapat menjalankan perintah PowerShell -

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Untuk memeriksa apakah itu berhasil atau tidak, kami menjalankan perintah PowerShell -

Get-KdsRootKey

Step 2 - Untuk membuat dan mengkonfigurasi gMSA → Buka terminal Powershell dan ketik -

Baru - ADServiceAccount - name gmsa1 - DNSHostNamedc1.example.com - PrincipalsAllowedToRetrieveManagedPassword "gmsa1Group"

Di mana,

  • gmsa1 adalah nama akun gMSA yang akan dibuat.

  • dc1.example.com adalah Nama server DNS.

  • gmsa1Groupadalah grup direktori aktif yang mencakup semua sistem yang harus digunakan. Grup ini harus dibuat sebelumnya di Grup.

Untuk memeriksanya, Buka → Manajer Server → Alat → Pengguna dan Komputer Direktori Aktif → Akun Layanan Terkelola.

Step 3 - Untuk menginstal gMAs di server → buka terminal PowerShell dan ketik perintah berikut -

  • Instal - ADServiceAccount - Identity gmsa1
  • Uji - ADServiceAccount gmsa1

Hasilnya akan menjadi "True" setelah menjalankan perintah kedua, seperti yang ditunjukkan pada gambar di bawah.

Step 4 - Pergi ke properti layanan, tentukan bahwa layanan akan dijalankan dengan gMSA account. DalamThis account kotak di Log ontab ketik nama akun layanan. Di akhir simbol penggunaan nama$, kata sandi tidak perlu ditentukan. Setelah perubahan disimpan, layanan harus dimulai ulang.

Akun tersebut akan mendapatkan "Log On as a Service" dan kata sandi akan diambil secara otomatis.