Creare un account di servizio gestito di gruppo

Questo argomento spiega come creare un account di servizio gestito di gruppo (gMSA) in Managed Service for Microsoft Active Directory. Devi seguire queste istruzioni standard per configurare l'account e tenere conto delle seguenti considerazioni speciali per AD Microsoft gestito.

Non creare la chiave principale KDS

In genere, la prima volta che crei un gMSA in un dominio, devi generare una chiave principale del servizio KDS (Key Distribution Service). AD Microsoft gestito genera una chiave radice KDS per te quando crei il dominio, quindi puoi saltare questo passaggio delle istruzioni standard.

Visualizza la chiave principale KDS

Prima di iniziare, assicurati che lo strumento Siti e servizi di Active Directory sia installato da Strumenti di amministrazione remota del server (RSAT).

Per visualizzare la chiave principale KDS, completa i seguenti passaggi:

  1. In Windows, avvia lo strumento Siti e servizi di Active Directory. Per avviare questo strumento, puoi aprire la finestra di dialogo dei comandi Esegui e inserire dssite.msc.
  2. Nello strumento Sites and Services di Active Directory, seleziona la scheda Visualizza.
  3. Nel menu Visualizza, seleziona Mostra nodo servizi.
  4. Nel riquadro a sinistra, seleziona Servizi > Servizio di distribuzione delle chiavi di gruppo > Chiavi master principali.
  5. Il riquadro a destra mostra un elenco di chiavi per il tuo dominio. Seleziona una chiave per visualizzarne i dettagli.

Tieni presente che l'esecuzione del cmdlet PowerShell Get-KdsRootKey restituisce una risposta vuota anche se esiste una chiave principale KDS valida. Puoi vedere la chiave solo quando esegui il cmdlet Get-KdsRootKey come amministratore del dominio.

Creare un account nel contenitore Managed Service Accounts

Per un dominio Microsoft AD gestito, devono essere creati nuovi account gMSA sotto il contenitore Managed Service Accounts. Per impostazione predefinita, il cmdlet New-ADServiceAccount crea nuovi gMSA in questa posizione. Per ulteriori informazioni, consulta il cmdlet New-ADServiceAccount.

Delega l'amministrazione di Managed Service Accounts

Puoi delegare l'amministrazione del contenitore Managed Service Accounts a un utente aggiungendolo al gruppo Cloud Service Managed Service Account Administrators. Per ulteriori informazioni sui gruppi creati per te da Managed Microsoft AD, vedi Gruppi.