במאמר הזה מוסבר איך ליצור חשבון שירות מנוהל (gMSA) בקבוצה ב-Managed Service for Microsoft Active Directory. כדי להגדיר את החשבון, צריך לפעול לפי ההוראות הסטנדרטיות האלה וליישם את ההנחיות המיוחדות הבאות לגבי Managed Microsoft AD.
לא ליצור מפתח בסיס של KDS
בדרך כלל, בפעם הראשונה שיוצרים gMSA בדומיין, צריך ליצור מפתח בסיס של Key Distribution Service (KDS). כשיוצרים את הדומיין, שירות Managed Microsoft AD יוצר בשבילכם מפתח בסיס של KDS, כך שאפשר לדלג על השלב הזה בהוראות הרגילות.
הצגת מפתח הבסיס של KDS
לפני שמתחילים, מוודאים שכלי האתרים והשירותים של Active Directory מותקן מתוך כלי הניהול של שרתים מרוחקים (RSAT).
כדי לראות את מפתח הבסיס של KDS, פועלים לפי השלבים הבאים:
- ב-Windows, מפעילים את הכלי Active Directory Sites and Services. כדי להפעיל את הכלי הזה, אפשר לפתוח את תיבת הדו-שיח של הפקודה הפעלה, ואז להזין
dssite.msc. - בכלי Active Directory Sites and Services, בוחרים בכרטיסייה View (תצוגה).
- בתפריט תצוגה, בוחרים באפשרות הצגת צומת שירותים.
- בחלונית הימנית, בוחרים באפשרות שירותים > שירות הפצת מפתחות לקבוצה > מפתחות בסיס ראשיים.
- בחלונית השמאלית מוצגת רשימה של מפתחות לדומיין. בוחרים מפתח כדי לראות את הפרטים שלו.
שימו לב: הפעלת ה-cmdlet של Get-KdsRootKey PowerShell מחזירה תגובה ריקה גם אם קיים מפתח בסיס תקין של KDS. אפשר לראות את המפתח רק כשמריצים את ה-cmdlet Get-KdsRootKey כמנהל הדומיין.
יצירת חשבון במאגר התגים Managed Service Accounts
בדומיין מנוהל של Microsoft AD, צריך ליצור gMSA חדש מתחת למאגר Managed Service Accounts. כברירת מחדל,
פקודת ה-cmdlet New-ADServiceAccount יוצרת gMSA חדשים במיקום הזה. מידע נוסף זמין במאמר בנושא New-ADServiceAccountcmdlet.
האצלת סמכויות ניהול של Managed Service Accounts
אפשר להקצות למשתמש הרשאות ניהול במאגר Managed Service Accounts על ידי הוספתו לקבוצה Cloud Service Managed Service Account Administrators.
מידע נוסף על הקבוצות שמנוהלות על ידי Microsoft AD זמין במאמר בנושא קבוצות.