gMSA(グループ管理サービスアカウント)サポートは、パスワード管理を自動化し、手動の手間を減らし、パスワードのローテーションを処理し、手動入力を排除することでセキュリティを向上させます。

過去には、インストーラーが gMSA オプションを選択してサービスを実行するためのユーザー資格情報を求めた際、オペレーティングシステムが資格情報を管理していたため、パスワードフィールドは無効になっていました。

Automation 360 は、Control Room サービスで Windows 認証用のグループ管理サービスアカウント (gMSA) をサポートしています。 この統合により、これらのサービスはデータベース認証にgMSAを使用できるようになり、企業のアイデンティティ管理の実践に沿い、手動の資格情報設定の必要性を最小限に抑えます。

この機能により、gMSA を活用して手動のパスワード入力を排除し、自動資格情報管理を利用することでシームレスな Windows 認証を確保できます。 これにより、インタラクティブなログインの要件が排除され、コンプライアンスおよびセキュリティ基準に準拠することができます。

グループ管理サービスアカウントを使用 オプションをこの認証のために Control Room のセットアップ中に選択する必要があります。インストール認証画面

  1. PowerShell を使用してcoreadminとしてログインします。
  2. 次のコマンドを実行して、gMSA アカウント(gmsa01$)を作成し、クライアント マシンがそのパスワードを取得できるようにします。
    Get-KdsRootKey
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword EC2AMAZ-0000000$
    複数のマシンでこのオプションを許可するには、コマンドを使用します:New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword @('EC2AMAZ-0000000
    #39;, 'EC2AMAZ-1111111
    #39;)
  3. Get-ADServiceAccount -Identity "gmsa01" -Properties * コマンドを使用して、gMSA アカウントの作成と権限を確認します。 出力は True である必要があります。
  4. 必要なクライアント マシンが 管理されたパスワードを取得することが許可されているプリンシパル のプロパティに含まれていることを確認してください。 例:
    PrincipalsAllowedToRetrieveManagedPassword : {CN=EC2AMAZ-0000000,CN=Computers,DC=samenterprise,DC=test, CN=EC2AMAZ-1111111,CN=Computers,DC=samenterprise,DC=test}
  5. 次のコマンドを使用して、gMSAが正しくインストールされているか確認してください。(出力はTrueである必要があります):Test-ADServiceAccount -Identity "gmsa01
    quot;
    注: クライアントマシンにgMSAをインストールするには、ステップ1~3を繰り返し、gmsa01ユーザーを追加してsysadminロールを割り当ててデータベースを構成します。
Control Room の仮想マシンで gMSA を構成するには、管理 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て > ローカル システム アカウント に移動し、gMSA(例: SAMENTERPRISE\gmsa02$)が一覧に含まれていることを確認してください。
注: gMSA アカウントに Control Room VM で管理者権限を付与する必要があります。

サイレント インストールの詳細については、スクリプトを使用して Control Room を Microsoft Windows Server にインストールする を参照してください。