그룹 관리 서비스 계정
MSA (관리 서비스 계정)는 서비스 계정의 암호를 자동으로 관리 (변경)하기 위해 Windows Server 2008 R2에 도입되었습니다. MSA를 사용하면 시스템 서비스를 실행하는 시스템 계정이 손상 될 위험을 상당히 줄일 수 있습니다. MSA에는 한 컴퓨터에서만 이러한 서비스 계정을 사용하는 한 가지 주요 문제가 있습니다. 이는 MSA 서비스 계정이 여러 서버에서 동시에 작동하고 동일한 계정과 암호를 사용하는 클러스터 또는 NLB 서비스와 함께 작동 할 수 없음을 의미합니다. 이 문제를 해결하기 위해 Microsoft는 다음 기능을 추가했습니다.Group Managed Service Accounts (gMSA) Windows Server 2012로.
gMSA를 생성하려면 아래 단계를 따라야합니다.
Step 1− KDS 루트 키를 생성합니다. 이는 DC의 KDS 서비스에서 암호를 생성하는 데 사용됩니다.
테스트 환경에서 즉시 키를 사용하려면 PowerShell 명령을 실행할 수 있습니다.
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
성공적으로 생성되었는지 확인하기 위해 PowerShell 명령을 실행합니다.
Get-KdsRootKey
Step 2 − gMSA를 만들고 구성하려면 → Powershell 터미널을 열고 다음을 입력합니다. −
새로운 기능 – ADServiceAccount – 이름 gmsa1 – DNSHostNamedc1.example.com – PrincipalsAllowedToRetrieveManagedPassword "gmsa1Group"
어느 곳에서
gmsa1 생성 할 gMSA 계정의 이름입니다.
dc1.example.com DNS 서버 이름입니다.
gmsa1Group사용해야하는 모든 시스템을 포함하는 활성 디렉토리 그룹입니다. 이 그룹은 그룹에서 먼저 만들어야합니다.
확인하려면 → 서버 관리자 → 도구 → Active Directory 사용자 및 컴퓨터 → 관리 서비스 계정으로 이동합니다.
Step 3 − 서버에 gMA를 설치하려면 → PowerShell 터미널을 열고 다음 명령을 입력합니다.
- 설치-ADServiceAccount-ID gmsa1
- 테스트-ADServiceAccount gmsa1
결과는 아래 스크린 샷과 같이 두 번째 명령을 실행 한 후 "True"가되어야합니다.
Step 4 − 서비스 속성으로 이동하여 서비스가 gMSA account. 에서This account 상자에 Log on탭에 서비스 계정의 이름을 입력합니다. 이름 끝에 기호 사용$, 암호를 지정할 필요가 없습니다. 변경 사항을 저장 한 후 서비스를 다시 시작해야합니다.
계정은 "서비스로 로그온"을 받고 암호는 자동으로 검색됩니다.