使用 gMSA 进行 Windows 身份验证以连接数据库
- Updated: 2025/07/14
gMSA(组托管服务帐户)支持密码管理自动化,通过处理密码轮换和消除手动输入,减少了人工操作,提高了安全性。
过去,当安装程序提示输入用户凭据以运行选中 gMSA 选项的服务时,密码字段被禁用,因为操作系统会管理凭据。
Automation 360 现在支持在 Control Room 服务中使用组托管服务账户 (gMSA) 进行 Windows 身份验证。 此集成使这些服务能够使用 gMSA 进行数据库身份验证,从而与企业身份管理实践保持一致,并最大限度地减少手动凭据配置的需要。
通过此功能,您现在可以确保使用 gMSA 实现无缝的 Windows 身份验证,从而利用自动凭据管理消除手动密码输入。 这样就不需要交互式登录,从而符合合规性和安全标准。
在设置 Control Room 时,必须选择使用组托管服务账户选项进行此身份验证。
- 使用 powershell 以 coreadmin 身份登录。
- 运行以下命令以创建 gMSA 账户 (
gmsa01$
) 并允许客户端计算机检索其密码:
要在多台计算机上允许此选项,请使用命令:New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword @('EC2AMAZ-0000000#39;, 'EC2AMAZ-1111111#39;)Get-KdsRootKey Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword EC2AMAZ-0000000$
- 使用 Get-ADServiceAccount -Identity "gmsa01" -Properties * 命令,验证 gMSA 账户创建和权限。 输出应为
True
。 - 确保
PrincipalsAllowedToRetrieveManagedPassword
属性包含所需的客户端计算机。 示例:PrincipalsAllowedToRetrieveManagedPassword : {CN=EC2AMAZ-0000000,CN=Computers,DC=samenterprise,DC=test, CN=EC2AMAZ-1111111,CN=Computers,DC=samenterprise,DC=test}
- 通过使用以下命令检查 gMSA 是否已正确安装。(输出应为
True
):Test-ADServiceAccount -Identity "gmsa01quot;注: 要在客户端计算机上安装 gMSA,请重复第 1-3 步,并通过添加gmsa01
用户并分配sysadmin
角色来配置数据库。
要在 Control Room 虚拟机上配置 gMSA,请导航到 ,并确保已列出 gMSA(例如 SAMENTERPRISE\gmsa02$)。
注: 必须在 Control Room 虚拟机上为 gMSA 账户授予管理员权限。
有关静默安装的信息,请参阅 使用脚本在 Microsoft Windows Server 上安装 Control Room。