Die gMSA-Unterstützung (Group Managed Service Accounts) automatisiert die Passwortverwaltung, reduziert den manuellen Aufwand und erhöht die Sicherheit, indem sie die Passwortrotation übernimmt und die manuelle Eingabe eliminiert.

In der Vergangenheit, wenn das Installationsprogramm zur Eingabe von Nutzeranmeldeinformationen aufforderte, um die Dienste mit der gMSA-Option auszuführen, waren die Passwortfelder deaktiviert, da das Betriebssystem die Anmeldeinformationen verwaltete.

Automation 360 unterstützt jetzt Group Managed Service Accounts (gMSA) für die Windows-Authentifizierung in Control Room-Diensten. Durch diese Integration können diese Dienste gMSA für die Datenbankauthentifizierung verwenden, was den Verfahren des Identitätsmanagements von Unternehmen entspricht und den manuellen Aufwand für die Konfiguration von Anmeldeinformationen reduziert.

Mit dieser Funktion ist eine nahtlose Windows-Authentifizierung mit gMSA möglich, sodass die manuelle Eingabe von Kennwörtern durch die automatische Verwaltung von Anmeldeinformationen entfällt. Dadurch entfällt die Notwendigkeit einer interaktiven Anmeldung, sodass Compliance- und Sicherheitsstandards eingehalten werden.

Sie müssen die Option Group Managed Service Account verwenden für diese Authentifizierung beim Einrichten Ihres Control Rooms auswählen.Installations-Authentifizierungsbildschirm

  1. Melden Sie sich als coreadmin mit PowerShell an.
  2. Führen Sie die folgenden Befehle aus, um das gMSA-Konto (gmsa01$) zu erstellen und Clientcomputern das Abrufen seines Kennworts zu erlauben:
    Get-KdsRootKey
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword EC2AMAZ-0000000$
    Um diese Option auf mehreren Maschinen zuzulassen, verwenden Sie den Befehl:New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword @('EC2AMAZ-0000000
    #39;, 'EC2AMAZ-1111111
    #39;)
  3. Überprüfen Sie die Erstellung und Berechtigungen des gMSA-Kontos mit dem Befehl Get-ADServiceAccount -Identity "gmsa01" -Properties *. Die Ausgabe muss True sein.
  4. Achten Sie darauf, dass die Eigenschaft PrincipalsAllowedToRetrieveManagedPassword die erforderlichen Clientcomputer enthält. Beispiel:
    PrincipalsAllowedToRetrieveManagedPassword : {CN=EC2AMAZ-0000000,CN=Computers,DC=samenterprise,DC=test, CN=EC2AMAZ-1111111,CN=Computers,DC=samenterprise,DC=test}
  5. Überprüfen Sie, ob gMSA korrekt installiert ist, indem Sie den folgenden Befehl verwenden. (Ausgabe sollte True sein):Test-ADServiceAccount -Identity "gmsa01
    quot;
    Anmerkung: Um gMSA auf Clientcomputern zu installieren, wiederholen Sie die Schritte 1–3 und konfigurieren Sie die Datenbank, indem Sie den Nutzer gmsa01 hinzufügen und die Rolle sysadmin zuweisen.
Um gMSA auf Control Room virtuellen Maschinen zu konfigurieren, navigieren Sie zu Verwaltung > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisung von Nutzerrechten > Lokales Systemkonto und stellen Sie sicher, dass gMSA (Beispiel SAMENTERPRISE\gmsa02$) aufgeführt ist.
Anmerkung: Sie müssen dem gMSA-Konto in der Control Room-VM Administratorrechte gewähren.

Informationen zur stillen Installation finden Sie unter Installieren von Control Room unter Microsoft Windows Server mithilfe von Skripten.