本主题介绍如何在 Managed Service for Microsoft Active Directory 中创建组托管式服务账号 (gMSA)。您应遵循这些标准说明来设置账号,同时考量托管式 Microsoft AD 的特殊注意事项。
不创建 KDS 根密钥
通常,第一次在网域中创建 gMSA 时,您需要生成密钥分发服务 (KDS) 根密钥。在您创建网域时,托管式 Microsoft AD 会为您生成 KDS 根密钥,因此您可以跳过标准说明中的该步骤。
查看 KDS 根密钥
在开始之前,请确保已从远程服务器管理工具 (RSAT) 安装了 Active Directory 站点和服务工具。
如需查看 KDS 根密钥,请完成以下步骤:
- 在 Windows 中,启动 Active Directory 站点和服务工具。要启动该工具,您可以打开运行命令对话框,然后输入
dssite.msc
。 - 在 Active Directory Sites and Services 工具中,选择 View 选项卡。
- 在 View 菜单中,选择 Show Services Node。
- 在左侧窗格中,选择 Services > Group Key Distribution Service > Master Root Keys。
- 右侧窗格会显示您的网域的密钥列表。选择一个密钥以查看其详细信息。
请注意,即使存在有效的 KDS 根密钥,运行 Get-KdsRootKey
PowerShell cmdlet 也会返回空响应。只有以网域管理员身份运行 Get-KdsRootKey
cmdlet 时,才能看到密钥。
在 Managed Service Accounts
容器下创建账号
对于托管式 Microsoft AD 网域,应在 Managed Service Accounts
容器下创建新的 gMSA。New-ADServiceAccount
cmdlet 默认在此位置创建新的 gMSA。如需了解详情,请参阅 New-ADServiceAccount
cmdlet。
委托 Managed Service Accounts
的管理
您可以将 Managed Service Accounts
容器的管理委派给用户,方法是将该用户添加到 Cloud Service Managed Service Account Administrators
组。如需详细了解托管式 Microsoft AD 为您创建的组,请参阅组。