Verwaltetes Dienstkonto für Gruppe erstellen

In diesem Thema wird beschrieben, wie Sie ein Managed Service Group (gSAS) unter Managed Service für Microsoft Active Directory erstellen. Folgen Sie dieser Standardanleitung zum Einrichten des Kontos und berücksichtigen Sie die folgenden besonderen Überlegungen für Managed Microsoft AD.

Erstellen Sie keinen KDS-Root-Schlüssel

In der Regel müssen Sie beim ersten Erstellen einer gSAG in einer Domain einen Key Distribution Service-Schlüssel (KDS) generieren. Verwaltetes Microsoft AD generiert einen KDS-Root-Schlüssel für Sie beim Erstellen der Domain. Sie können diesen Schritt also aus der Standardanleitung überspringen.

KDS-Root-Schlüssel ansehen

Prüfen Sie zuerst, ob das Tool „Active Directory-Standorte und -Dienste“ von Remoteserver Administration Tools (RSAT) installiert ist.

Führen Sie die folgenden Schritte aus, um den KDS-Root-Schlüssel aufzurufen:

  1. Starten Sie in Windows das Tool „Active Directory-Standorte und -Dienste“. Zum Starten dieses Tools öffnen Sie das Dialogfeld Ausführen und geben dann dssite.msc ein.
  2. Wählen Sie im Active Directory-Standorte und -Dienste den Tab Ansicht aus.
  3. Wählen Sie im Menü Ansicht die Option Dienst-Knoten anzeigen aus.
  4. Wählen Sie im linken Bereich Dienste > Gruppenschlüsselverteilungsdienst > Master-Root-Schlüssel aus.
  5. Im rechten Bereich wird eine Liste mit Schlüsseln für Ihre Domain angezeigt. Wählen Sie einen Schlüssel aus, um seine Details aufzurufen.

Beim Ausführen des Get-KdsRootKey-PowerShell-Cmdlets wird eine leere Antwort zurückgegeben, obwohl ein gültiger KDS-Root-Schlüssel vorhanden ist. Der Schlüssel wird nur angezeigt, wenn Sie das Cmdlet Get-KdsRootKey als Domainadministrator ausführen.

Konto unter Managed Service Accounts-Container erstellen

Für eine verwaltete Microsoft AD-Domain sollten neue gMSAs unter dem Container Managed Service Accounts erstellt werden. Standardmäßig erstellt das New-ADServiceAccount-Cmdlet neue gMSNs an diesem Speicherort. Weitere Informationen finden Sie im Hilfeartikel zum Cmdlet New-ADServiceAccount.

Verwaltung von Managed Service Accounts delegieren

Sie können die Verwaltung des Managed Service Accounts-Containers an einen Nutzer delegieren, indem Sie ihn der Gruppe Cloud Service Managed Service Account Administrators hinzufügen. Weitere Informationen zu den Gruppen, die von Managed Microsoft AD für Sie erstellt werden, finden Sie unter Gruppen.