Le support des gMSA (Group Managed Service Accounts) automatise la gestion des mots de passe, réduisant l\'effort manuel et améliorant la sécurité en gérant la rotation des mots de passe et en éliminant la saisie manuelle.

Dans le passé, lorsque le programme d\'installation demandait des identifiants utilisateur pour exécuter les services avec l\'option gMSA sélectionnée, les champs de mot de passe étaient désactivés car le système d\'exploitation gérait les identifiants.

Automation 360 prend désormais en charge les comptes de service administré de groupe (gMSA) pour l\'authentification Windows lors de l\'exécution des services Control Room. Cette intégration permet à ces services d\'utiliser les gMSA pour l\'authentification de la base de données, en s\'alignant sur les pratiques de gestion des identités d\'entreprise et en réduisant le besoin de configuration manuelle des identifiants.

Grâce à cette fonctionnalité, vous pouvez maintenant garantir une authentification Windows transparente avec les gMSA pour éliminer la saisie manuelle de mot de passe, en exploitant la gestion automatique des identifiants. Cela élimine l\'exigence de connexion interactive, respectant ainsi les normes de conformité et de sécurité.

Vous devez sélectionner l\'option Utiliser un compte de service administré de groupe pour cette authentification lors de la configuration de votre Control Room.Écran d\'authentification de l\'installation

  1. Connectez-vous en tant que coreadmin en utilisant powershell.
  2. Exécutez les commandes suivantes pour créer le compte gMSA (gmsa01$) et permettre aux ordinateurs clients de récupérer leur mot de passe :
    Get-KdsRootKey
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword EC2AMAZ-0000000$
    Pour autoriser cette option sur plusieurs machines, utilisez la commande : New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword @('EC2AMAZ-0000000
    #39;, 'EC2AMAZ-1111111
    #39;)
  3. Vérifiez la création et les autorisations du compte gMSA, en utilisant la commande Get-ADServiceAccount -Identity "gmsa01" -Properties *. La sortie doit être True.
  4. Assurez-vous que la propriété PrincipalsAllowedToRetrieveManagedPassword inclut les machines clientes requises. Exemple :
    PrincipalsAllowedToRetrieveManagedPassword : {CN=EC2AMAZ-0000000,CN=Computers,DC=samenterprise,DC=test, CN=EC2AMAZ-1111111,CN=Computers,DC=samenterprise,DC=test}
  5. Vérifiez si gMSA est installé correctement en utilisant la commande suivante. (la sortie doit être True) : Test-ADServiceAccount -Identity "gmsa01
    quot;
    Remarque : Pour installer gMSA sur les machines clientes, répétez les étapes 1 à 3 et configurez la base de données en ajoutant l\'utilisateur gmsa01 et en attribuant le rôle sysadmin.
Pour configurer les gMSA sur les machines virtuelles de la Control Room, accédez à Administration > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur > Compte système local et assurez-vous que gMSA (exemple SAMENTERPRISE\gmsa02$) est répertorié.
Remarque : Vous devez accorder des privilèges d\'administrateur au compte gMSA dans la machine virtuelle de la Control Room.

Pour obtenir des informations sur l\'installation silencieuse, consultez Installation de Control Room sur Microsoft Windows Server à l\'aide de scripts.