gMSA(그룹 관리 서비스 계정) 지원은 암호 관리를 자동화하여 암호 교체를 처리하고 수동으로 입력할 필요를 없어 수동 작업을 줄이고 보안을 강화합니다.

과거에는 설치 관리자가 gMSA 옵션이 선택된 상태로 서비스를 실행하기 위해 사용자 자격증명을 요청했을 때, 운영 체제가 자격 증명을 관리했기 때문에 비밀번호 필드가 비활성화되었습니다.

Automation 360은 이제 Control Room 서비스에서 Windows 인증을 위한 gMSA(그룹 관리 서비스 계정)를 지원합니다. 이러한 통합은 해당 서비스가 데이터베이스 인증을 위해 gMSA를 사용할 수 있도록 하여, 기업의 ID 관리 관행에 맞추고 수동 자격증명 구성을 최소화합니다.

이 기능을 통해 이제 자동 자격증명 관리를 활용함으로써 수동으로 비밀번호를 입력하지 않고 gMSA를 사용하여 원활하게 Windows 인증을 수행할 수 있습니다. 이에 따라 상호 작용 로그인을 할 필요가 없어져 규정 및 보안 기준을 준수합니다.

Control Room을 설정하는 동안 이 인증에 대해 그룹 관리 서비스 계정 사용 옵션을 선택해야 합니다.설치 인증 화면

  1. Powershell을 사용하여 coreadmin으로 로그인하십시오.
  2. 다음 명령을 실행하여 gMSA 계정(gmsa01$)을 생성하고 클라이언트 컴퓨터가 해당 암호를 가져올 수 있도록 허용하십시오.
    Get-KdsRootKey
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword EC2AMAZ-0000000$
    이 옵션을 여러 기기에서 사용할 수 있도록 New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword @('EC2AMAZ-0000000
    #39;, 'EC2AMAZ-1111111
    #39;)     명령어를 사용하십시오.
  3. Get-ADServiceAccount -Identity "gmsa01" -Properties * 명령어를 사용하여 gMSA 계정 생성 및 권한을 검증하십시오. 출력은 True여야 합니다.
  4. PrincipalsAllowedToRetrieveManagedPassword 속성에 필요한 클라이언트 기기가 포함되어 있는지 확인하십시오. 예:
    PrincipalsAllowedToRetrieveManagedPassword : {CN=EC2AMAZ-0000000,CN=Computers,DC=samenterprise,DC=test, CN=EC2AMAZ-1111111,CN=Computers,DC=samenterprise,DC=test}
  5. gMSA가 올바르게 설치되었는지 확인하려면 Test-ADServiceAccount -Identity "gmsa01
    quot;     명령어를 사용하십시오(출력은 True여야 함).
    주: 클라이언트 컴퓨터에 gMSA를 설치하려면 gmsa01 사용자를 추가하고 sysadmin 역할을 할당하여 1-3단계를 반복하고 데이터베이스를 구성하십시오.
Control Room 가상 기기에서 gMSA를 구성하려면 관리 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 > 로컬 시스템 계정으로 이동하여 gMSA(예: SAMENTERPRISE\gmsa02$)가 목록에 있는지 확인하십시오.
주: Control Room VM에서 gMSA 계정에 관리자 권한을 부여해야 합니다.

자동 설치에 대한 정보는 Control Room에 스크립트를 활용한 Microsoft Windows Server 설치 내용을 참조하십시오.