gMSA(组托管服务帐户)支持密码管理自动化,通过处理密码轮换和消除手动输入,减少了人工操作,提高了安全性。

过去,当安装程序提示输入用户凭据以运行选中 gMSA 选项的服务时,密码字段被禁用,因为操作系统会管理凭据。

现在,您可以通过利用自动凭据管理,确保使用 gMSA 进行无缝的 Windows 身份验证,以消除手动密码输入。 这样就不需要交互式登录,从而符合合规性和安全标准。

Control Room 安装期间,用户必须选择使用组托管服务账户选项,以进行此身份验证。gMSA 身份验证屏幕

  1. 使用 powershell 以 coreadmin 身份登录。
  2. 运行以下命令以创建 gMSA 账户 (gmsa01$) 并允许客户端计算机检索其密码:
    Get-KdsRootKey
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword EC2AMAZ-0000000$
    要在多台计算机上允许此选项,请使用命令:New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword @('EC2AMAZ-0000000
    #39;, 'EC2AMAZ-1111111
    #39;)
  3. 使用 Get-ADServiceAccount -Identity "gmsa01" -Properties * 命令,验证 gMSA 账户创建和权限。 输出应为 True
  4. 确保 PrincipalsAllowedToRetrieveManagedPassword 属性包含所需的客户端计算机。 示例:
    PrincipalsAllowedToRetrieveManagedPassword : {CN=EC2AMAZ-0000000,CN=Computers,DC=samenterprise,DC=test, CN=EC2AMAZ-1111111,CN=Computers,DC=samenterprise,DC=test}
  5. 通过使用以下命令检查 gMSA 是否已正确安装。(输出应为 True):Test-ADServiceAccount -Identity "gmsa01
    quot;
    注: 要在客户端计算机上安装 gMSA,请重复第 1-3 步,并通过添加 gmsa01 用户并分配 sysadmin 角色来配置数据库。
要在 Control Room 虚拟机上配置 gMSA,请导航到 管理 > 安全设置 > 本地策略 > 用户权限分配 > 作为服务登录 并确保已列出 gMSA(例如 SAMENTERPRISE\gmsa02$)。
注: 必须在 Control Room 虚拟机上为 gMSA 账户授予管理员权限。

有关静默安装的信息,请参阅 使用脚本在 Microsoft Windows Server 上安装 Control Room