Autenticação do Windows usando gMSA para conectividade de banco de dados
- Última atualização2025/07/14
O suporte da gMSA (conta de serviço gerenciadas por grupo) automatiza o gerenciamento de senhas, reduzindo o esforço manual e aumentando a segurança ao lidar com a rotação de senhas e eliminar a entrada manual.
No passado, quando o instalador solicitava as credenciais do usuário para executar os serviços com a opção gMSA selecionada, os campos de senha eram desabilitados porque o sistema operacional gerenciava as credenciais.
O Automation 360 agora oferece suporte a contas de serviço gerenciadas por grupo (gMSA) para autenticação do Windows em serviços da Control Room. Essa integração permite que esses serviços usem a gMSA para autenticação de banco de dados, alinhando-se às práticas de gerenciamento de identidade corporativa e minimizando a necessidade de configuração manual de credenciais.
Com esse recurso, agora você pode garantir a autenticação contínua do Windows com a gMSA para eliminar a entrada manual de senhas, utilizando o gerenciamento automático de credenciais. Isso elimina a necessidade de login interativo, aderindo assim aos padrões de conformidade e segurança.
Você deve selecionar a opção Usar uma conta de serviço gerenciada por grupo para essa autenticação ao configurar sua Control Room.
- Faça login como coreadmin usando o powershell.
- Execute os seguintes comandos para criar a conta gMSA (
gmsa01$
) e permitir que as máquinas clientes recuperem a senha:
Para permitir essa opção em várias máquinas, use o comando:New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword @('EC2AMAZ-0000000#39;, 'EC2AMAZ-1111111#39;)Get-KdsRootKey Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword EC2AMAZ-0000000$
- Verifique a criação e as permissões da conta gMSA, usando o comando Get-ADServiceAccount -Identity "gmsa01" -Properties *. A saída deve ser
True
. - Certifique-se de que a propriedade
PrincipalsAllowedToRetrieveManagedPassword
inclua as máquinas cliente necessárias. Exemplo:PrincipalsAllowedToRetrieveManagedPassword : {CN=EC2AMAZ-0000000,CN=Computers,DC=samenterprise,DC=test, CN=EC2AMAZ-1111111,CN=Computers,DC=samenterprise,DC=test}
- Verifique se a gMSA está instalada corretamente usando o seguinte comando (a saída deve ser
True
):Test-ADServiceAccount -Identity "gmsa01quot;Nota: Para instalar a gMSA em máquinas cliente, repita os passos 1-3 e configure o banco de dados adicionando o usuáriogmsa01
e atribuindo a funçãosysadmin
.
Para obter informações sobre instalação silenciosa, consulte Instalação do Control Room em Microsoft Windows Server usando scripts.