O suporte da gMSA (conta de serviço gerenciadas por grupo) automatiza o gerenciamento de senhas, reduzindo o esforço manual e aumentando a segurança ao lidar com a rotação de senhas e eliminar a entrada manual.

No passado, quando o instalador solicitava as credenciais do usuário para executar os serviços com a opção gMSA selecionada, os campos de senha eram desabilitados porque o sistema operacional gerenciava as credenciais.

O Automation 360 agora oferece suporte a contas de serviço gerenciadas por grupo (gMSA) para autenticação do Windows em serviços da Control Room. Essa integração permite que esses serviços usem a gMSA para autenticação de banco de dados, alinhando-se às práticas de gerenciamento de identidade corporativa e minimizando a necessidade de configuração manual de credenciais.

Com esse recurso, agora você pode garantir a autenticação contínua do Windows com a gMSA para eliminar a entrada manual de senhas, utilizando o gerenciamento automático de credenciais. Isso elimina a necessidade de login interativo, aderindo assim aos padrões de conformidade e segurança.

Você deve selecionar a opção Usar uma conta de serviço gerenciada por grupo para essa autenticação ao configurar sua Control Room.Tela de autenticação da instalação

  1. Faça login como coreadmin usando o powershell.
  2. Execute os seguintes comandos para criar a conta gMSA (gmsa01$) e permitir que as máquinas clientes recuperem a senha:
    Get-KdsRootKey
    Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
    New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword EC2AMAZ-0000000$
    Para permitir essa opção em várias máquinas, use o comando:New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword @('EC2AMAZ-0000000
    #39;, 'EC2AMAZ-1111111
    #39;)
  3. Verifique a criação e as permissões da conta gMSA, usando o comando Get-ADServiceAccount -Identity "gmsa01" -Properties *. A saída deve ser True.
  4. Certifique-se de que a propriedade PrincipalsAllowedToRetrieveManagedPassword inclua as máquinas cliente necessárias. Exemplo:
    PrincipalsAllowedToRetrieveManagedPassword : {CN=EC2AMAZ-0000000,CN=Computers,DC=samenterprise,DC=test, CN=EC2AMAZ-1111111,CN=Computers,DC=samenterprise,DC=test}
  5. Verifique se a gMSA está instalada corretamente usando o seguinte comando (a saída deve ser True):Test-ADServiceAccount -Identity "gmsa01
    quot;
    Nota: Para instalar a gMSA em máquinas cliente, repita os passos 1-3 e configure o banco de dados adicionando o usuário gmsa01 e atribuindo a função sysadmin.
Para configurar a gMSA em máquinas virtuais da Control Room, navegue até Administração > Configurações de segurança > Políticas locais > Atribuição de direitos de usuário > Conta do sistema local e certifique-se de que a gMSA (exemplo SAMENTERPRISE\gmsa02$) esteja listada.
Nota: Você deve conceder privilégios de Administrador à conta gMSA na VM da Control Room.

Para obter informações sobre instalação silenciosa, consulte Instalação do Control Room em Microsoft Windows Server usando scripts.