gMSA(组托管服务帐户)支持密码管理自动化,通过处理密码轮换和消除手动输入,减少了人工操作,提高了安全性。

过去,当安装程序提示输入用户凭据以运行选中 gMSA 选项的服务时,密码字段被禁用,因为操作系统会管理凭据。

Automation 360 现在支持在 Control Room 服务中使用组托管服务账户 (gMSA) 进行 Windows 身份验证。 此集成使这些服务能够使用 gMSA 进行数据库身份验证,从而与企业身份管理实践保持一致,并最大限度地减少手动凭据配置的需要。

通过此功能,您现在可以确保使用 gMSA 实现无缝的 Windows 身份验证,从而利用自动凭据管理消除手动密码输入。 这样就不需要交互式登录,从而符合合规性和安全标准。

在设置 Control Room 时,必须选择使用组托管服务账户选项进行此身份验证。安装身份验证屏幕

  1. 使用 powershell 以 coreadmin 身份登录。
  2. 运行以下命令以创建 gMSA 账户 (gmsa01$) 并允许客户端计算机检索其密码:
    Get-KdsRootKey
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword EC2AMAZ-0000000$
    要在多台计算机上允许此选项,请使用命令:New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword @('EC2AMAZ-0000000
    #39;, 'EC2AMAZ-1111111
    #39;)
  3. 使用 Get-ADServiceAccount -Identity "gmsa01" -Properties * 命令,验证 gMSA 账户创建和权限。 输出应为 True
  4. 确保 PrincipalsAllowedToRetrieveManagedPassword 属性包含所需的客户端计算机。 示例:
    PrincipalsAllowedToRetrieveManagedPassword : {CN=EC2AMAZ-0000000,CN=Computers,DC=samenterprise,DC=test, CN=EC2AMAZ-1111111,CN=Computers,DC=samenterprise,DC=test}
  5. 通过使用以下命令检查 gMSA 是否已正确安装。(输出应为 True):Test-ADServiceAccount -Identity "gmsa01
    quot;
    注: 要在客户端计算机上安装 gMSA,请重复第 1-3 步,并通过添加 gmsa01 用户并分配 sysadmin 角色来配置数据库。
要在 Control Room 虚拟机上配置 gMSA,请导航到管理 > 安全设置 > 本地策略 > 用户权限分配 > 本地系统账户,并确保已列出 gMSA(例如 SAMENTERPRISE\gmsa02$)。
注: 必须在 Control Room 虚拟机上为 gMSA 账户授予管理员权限。

有关静默安装的信息,请参阅 使用脚本在 Microsoft Windows Server 上安装 Control Room