Criar uma conta de serviço gerenciada para o grupo
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Neste tópico, mostramos como criar uma conta de serviço gerenciada para um grupo (gMSA) no Serviço Gerenciado para Microsoft Active Directory. Siga estas instruções padrão para configurar a conta e incorpore as considerações especiais a seguir para o Managed Microsoft AD.
Não criar chave raiz do KDS
Geralmente, na primeira vez que você cria um gMSA em um domínio, é necessário gerar uma chave raiz do Serviço de Distribuição de Chaves (KDS). O Managed Microsoft AD gera uma chave raiz do KDS para você ao criar o domínio, para permitir que pule essa etapa das instruções padrão.
Para conferir a chave raiz do KDS, siga estas etapas:
No Windows, inicie a ferramenta Sites e Serviços do Active Directory. Para iniciar
essa ferramenta, abra a caixa de diálogo do comando Executar e digite
dssite.msc.
Na ferramenta Sites e Serviços do Active Directory, selecione a guia Visualizar.
No menu Visualizar, selecione Mostrar nó de serviços.
No painel esquerdo, selecione Serviços > Serviço de Distribuição de Chaves de Grupo > Chaves
Raiz Principais.
O painel à direita mostra uma lista de chaves do seu domínio. Selecione uma chave para ver os detalhes
dela.
Observe que a execução do cmdlet PowerShell Get-KdsRootKey retorna uma resposta vazia, mesmo que exista uma chave raiz válida do KDS. Só é possível ver a chave ao executar o cmdlet Get-KdsRootKey como administrador do domínio.
Criar conta no contêiner Managed Service Accounts
Para um domínio do Managed Microsoft AD, novas gMSAs precisam ser criadas
no contêiner Managed Service Accounts. Por padrão, o cmdlet New-ADServiceAccount cria novas gMSAs nesse local. Para mais informações, consulte o
cmdlet New-ADServiceAccount.
Delegar a administração de Managed Service Accounts
É possível delegar a administração do contêiner Managed Service Accounts a um usuário
adicionando-o ao grupo Cloud Service Managed Service Account Administrators.
Para mais informações sobre os grupos que o Managed Microsoft AD cria para você, consulte Grupos.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-11 UTC."],[],[],null,["# Create a group Managed Service Account\n\nThis topic shows you how to create a group Managed Service Account (gMSA) in\nManaged Service for Microsoft Active Directory. You should follow\n[these standard instructions](https://docs.microsoft.com/en-us/virtualization/windowscontainers/manage-containers/manage-serviceaccounts#create-a-group-managed-service-account)\nfor setting up the account and incorporate the following special considerations\nfor Managed Microsoft AD.\n\nDo not create KDS root key\n--------------------------\n\nUsually, the first time you create a gMSA in a domain, you need to generate a\nKey Distribution Service (KDS) root key. Managed Microsoft AD generates a KDS\nroot key for you when you create the domain, so you can skip that step from\n[the standard instructions](https://docs.microsoft.com/en-us/virtualization/windowscontainers/manage-containers/manage-serviceaccounts#create-a-group-managed-service-account).\n\n### View the KDS root key\n\nBefore you begin, be sure that the Active Directory Sites and Services tool is\ninstalled from\n[Remote Server Administration Tools (RSAT)](https://support.microsoft.com/en-us/help/2693643/remote-server-administration-tools-rsat-for-windows-operating-systems).\n\nTo view the KDS root key, complete the following steps:\n\n1. In Windows, launch the Active Directory Sites and Services tool. To launch this tool, you can open the **Run** command dialog box, and then enter `dssite.msc`.\n2. In the **Active Directory Sites and Services** tool, select the **View** tab.\n3. In the **View** menu, select **Show Services Node**.\n4. In the left pane, select **Services \\\u003e Group Key Distribution Service \\\u003e Master\n Root Keys**.\n5. The right pane shows a list of keys for your domain. Select a key to view its details.\n\nNote that running the `Get-KdsRootKey` PowerShell cmdlet returns an empty\nresponse even though a valid KDS root key exists. You can only see the key when\nyou run the `Get-KdsRootKey` cmdlet as the Domain Admin.\n\nCreate account under `Managed Service Accounts` container\n---------------------------------------------------------\n\nFor a Managed Microsoft AD domain, new gMSAs should be created\nunder the `Managed Service Accounts` container. By default,\nthe `New-ADServiceAccount` cmdlet creates new gMSAs in this location. For more information, see\n[`New-ADServiceAccount`cmdlet](https://learn.microsoft.com/en-us/powershell/module/activedirectory/new-adserviceaccount?view=windowsserver2022-ps).\n\nDelegate administration of `Managed Service Accounts`\n-----------------------------------------------------\n\nYou can delegate the administration of the `Managed Service Accounts` container to a user by\nadding them to `Cloud Service Managed Service Account Administrators` group.\nFor more information about the groups that Managed Microsoft AD creates for you, see [Groups](/managed-microsoft-ad/docs/objects#groups)."]]
