Tài khoản dịch vụ được quản lý theo nhóm
Tài khoản dịch vụ được quản lý (MSA) được giới thiệu trong Windows Server 2008 R2 để tự động quản lý (thay đổi) mật khẩu của các tài khoản dịch vụ. Sử dụng MSA, bạn có thể giảm đáng kể nguy cơ tài khoản hệ thống chạy các dịch vụ hệ thống bị xâm phạm. MSA có một vấn đề lớn là việc sử dụng tài khoản dịch vụ chỉ trên một máy tính. Có nghĩa là Tài khoản Dịch vụ MSA không thể hoạt động với các dịch vụ cụm hoặc NLB, hoạt động đồng thời trên nhiều máy chủ và sử dụng cùng một tài khoản và mật khẩu. Để khắc phục điều này, Microsoft đã thêm tính năngGroup Managed Service Accounts (gMSA) sang Windows Server 2012.
Để tạo gMSA, chúng ta nên làm theo các bước dưới đây:
Step 1- Tạo khóa gốc KDS. Điều này được sử dụng bởi dịch vụ KDS trên DC để tạo mật khẩu.
Để sử dụng khóa ngay lập tức trong môi trường thử nghiệm, bạn có thể chạy lệnh PowerShell -
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
Để kiểm tra xem nó có tạo thành công hay không, chúng tôi chạy lệnh PowerShell -
Get-KdsRootKey
Step 2 - Để tạo và cấu hình gMSA → Mở thiết bị đầu cuối Powershell và nhập -
Mới - ADServiceAccount - tên gmsa1 - DNSHostNamedc1.example.com - PrincipalsAllowedToRetrieveManagedPassword "gmsa1Group"
Trong đó,
gmsa1 là tên của tài khoản gMSA sẽ được tạo.
dc1.example.com là Tên máy chủ DNS.
gmsa1Grouplà nhóm thư mục hoạt động bao gồm tất cả các hệ thống phải được sử dụng. Nhóm này nên được tạo trước trong Nhóm.
Để kiểm tra, hãy đi tới → Trình quản lý máy chủ → Công cụ → Người dùng và máy tính Active Directory → Tài khoản dịch vụ được quản lý.
Step 3 - Để cài đặt gMA trên máy chủ → mở thiết bị đầu cuối PowerShell và nhập các lệnh sau:
- Cài đặt - ADServiceAccount - Identity gmsa1
- Kiểm tra - ADServiceAccount gmsa1
Kết quả sẽ là “True” sau khi chạy lệnh thứ hai, như được hiển thị trong ảnh chụp màn hình bên dưới.
Step 4 - Chuyển đến thuộc tính dịch vụ, chỉ định rằng dịch vụ sẽ được chạy với gMSA account. bên trongThis account hộp trong Log onnhập tên của tài khoản dịch vụ. Ở cuối ký hiệu sử dụng tên$, mật khẩu không cần phải được chỉ định. Sau khi các thay đổi được lưu, dịch vụ phải được khởi động lại.
Tài khoản sẽ nhận được “Đăng nhập với tư cách là một dịch vụ” và mật khẩu sẽ được truy xuất tự động.