本主題說明如何在 Managed Service for Microsoft Active Directory 中建立群組 Managed Service 帳戶 (gMSA)。您應按照這些標準操作說明設定帳戶,並納入下列 Managed Microsoft AD 的特殊考量。
不要建立 KDS 根鍵
通常,您第一次在網域中建立 gMSA 時,需要產生金鑰發布服務 (KDS) 根金鑰。受控 Microsoft AD 會在您建立網域時為您產生 KDS 根鍵,因此您可以略過標準操作說明中的這一步驟。
查看 KDS 根鍵
開始前,請確認已從 遠端伺服器管理工具 (RSAT) 安裝 Active Directory 網站和服務工具。
如要查看 KDS 根金鑰,請完成下列步驟:
- 在 Windows 中啟動 Active Directory 網站和服務工具。如要啟動這項工具,您可以開啟「Run」指令對話方塊,然後輸入
dssite.msc。 - 在「Active Directory Sites and Services」工具中,選取「View」分頁標籤。
- 在「View」選單中,選取「Show Services Node」。
- 在左側窗格中,依序選取「服務」>「群組金鑰發布服務」>「主根鍵」。
- 右側窗格會顯示網域的金鑰清單。選取金鑰即可查看詳細資料。
請注意,即使存在有效的 KDS 根鍵,執行 Get-KdsRootKey PowerShell Cmdlet 仍會傳回空白回應。您必須以網域管理員身分執行 Get-KdsRootKey 指令碼,才能看到該金鑰。
在 Managed Service Accounts 容器下建立帳戶
對於受管理的 Microsoft AD 網域,應在 Managed Service Accounts 容器下建立新的 gMSA。根據預設,New-ADServiceAccount 指令碼會在這個位置建立新的 gMSA。詳情請參閱 New-ADServiceAccount 指令程式。
委派 Managed Service Accounts 的管理作業
您可以將 Managed Service Accounts 容器的管理權委派給使用者,方法是將使用者加入 Cloud Service Managed Service Account Administrators 群組。如要進一步瞭解 Managed Microsoft AD 為您建立的群組,請參閱「群組」。