Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
In diesem Thema wird beschrieben, wie Sie ein Managed Service Group (gSAS) unter Managed Service für Microsoft Active Directory erstellen. Folgen Sie dieser Standardanleitung zum Einrichten des Kontos und berücksichtigen Sie die folgenden besonderen Überlegungen für Managed Microsoft AD.
Erstellen Sie keinen KDS-Root-Schlüssel
In der Regel müssen Sie beim ersten Erstellen einer gSAG in einer Domain einen Key Distribution Service-Schlüssel (KDS) generieren. Verwaltetes Microsoft AD generiert einen KDS-Root-Schlüssel für Sie beim Erstellen der Domain. Sie können diesen Schritt also aus der Standardanleitung überspringen.
Führen Sie die folgenden Schritte aus, um den KDS-Root-Schlüssel aufzurufen:
Starten Sie in Windows das Tool „Active Directory-Standorte und -Dienste“. Zum Starten dieses Tools öffnen Sie das Dialogfeld Ausführen und geben dann dssite.msc ein.
Wählen Sie im Active Directory-Standorte und -Dienste den Tab Ansicht aus.
Wählen Sie im Menü Ansicht die Option Dienst-Knoten anzeigen aus.
Wählen Sie im linken Bereich Dienste > Gruppenschlüsselverteilungsdienst > Master-Root-Schlüssel aus.
Im rechten Bereich wird eine Liste mit Schlüsseln für Ihre Domain angezeigt. Wählen Sie einen Schlüssel aus, um seine Details aufzurufen.
Beim Ausführen des Get-KdsRootKey-PowerShell-Cmdlets wird eine leere Antwort zurückgegeben, obwohl ein gültiger KDS-Root-Schlüssel vorhanden ist. Der Schlüssel wird nur angezeigt, wenn Sie das Cmdlet Get-KdsRootKey als Domainadministrator ausführen.
Konto unter Managed Service Accounts-Container erstellen
Für eine verwaltete Microsoft AD-Domain sollten neue gMSAs unter dem Container Managed Service Accounts erstellt werden. Standardmäßig erstellt das New-ADServiceAccount-Cmdlet neue gMSNs an diesem Speicherort. Weitere Informationen finden Sie im Hilfeartikel zum Cmdlet New-ADServiceAccount.
Verwaltung von Managed Service Accounts delegieren
Sie können die Verwaltung des Managed Service Accounts-Containers an einen Nutzer delegieren, indem Sie ihn der Gruppe Cloud Service Managed Service Account Administrators hinzufügen.
Weitere Informationen zu den Gruppen, die von Managed Microsoft AD für Sie erstellt werden, finden Sie unter Gruppen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-11 (UTC)."],[],[],null,["# Create a group Managed Service Account\n\nThis topic shows you how to create a group Managed Service Account (gMSA) in\nManaged Service for Microsoft Active Directory. You should follow\n[these standard instructions](https://docs.microsoft.com/en-us/virtualization/windowscontainers/manage-containers/manage-serviceaccounts#create-a-group-managed-service-account)\nfor setting up the account and incorporate the following special considerations\nfor Managed Microsoft AD.\n\nDo not create KDS root key\n--------------------------\n\nUsually, the first time you create a gMSA in a domain, you need to generate a\nKey Distribution Service (KDS) root key. Managed Microsoft AD generates a KDS\nroot key for you when you create the domain, so you can skip that step from\n[the standard instructions](https://docs.microsoft.com/en-us/virtualization/windowscontainers/manage-containers/manage-serviceaccounts#create-a-group-managed-service-account).\n\n### View the KDS root key\n\nBefore you begin, be sure that the Active Directory Sites and Services tool is\ninstalled from\n[Remote Server Administration Tools (RSAT)](https://support.microsoft.com/en-us/help/2693643/remote-server-administration-tools-rsat-for-windows-operating-systems).\n\nTo view the KDS root key, complete the following steps:\n\n1. In Windows, launch the Active Directory Sites and Services tool. To launch this tool, you can open the **Run** command dialog box, and then enter `dssite.msc`.\n2. In the **Active Directory Sites and Services** tool, select the **View** tab.\n3. In the **View** menu, select **Show Services Node**.\n4. In the left pane, select **Services \\\u003e Group Key Distribution Service \\\u003e Master\n Root Keys**.\n5. The right pane shows a list of keys for your domain. Select a key to view its details.\n\nNote that running the `Get-KdsRootKey` PowerShell cmdlet returns an empty\nresponse even though a valid KDS root key exists. You can only see the key when\nyou run the `Get-KdsRootKey` cmdlet as the Domain Admin.\n\nCreate account under `Managed Service Accounts` container\n---------------------------------------------------------\n\nFor a Managed Microsoft AD domain, new gMSAs should be created\nunder the `Managed Service Accounts` container. By default,\nthe `New-ADServiceAccount` cmdlet creates new gMSAs in this location. For more information, see\n[`New-ADServiceAccount`cmdlet](https://learn.microsoft.com/en-us/powershell/module/activedirectory/new-adserviceaccount?view=windowsserver2022-ps).\n\nDelegate administration of `Managed Service Accounts`\n-----------------------------------------------------\n\nYou can delegate the administration of the `Managed Service Accounts` container to a user by\nadding them to `Cloud Service Managed Service Account Administrators` group.\nFor more information about the groups that Managed Microsoft AD creates for you, see [Groups](/managed-microsoft-ad/docs/objects#groups)."]]
