Zdarzenia
9 kwi, 15 - 10 kwi, 12
Zakoduj przyszłość za pomocą sztucznej inteligencji i połącz się z elementami równorzędnymi i ekspertami języka Java w witrynie JDConf 2025.
Zarejestruj się terazTa przeglądarka nie jest już obsługiwana.
Przejdź na przeglądarkę Microsoft Edge, aby korzystać z najnowszych funkcji, aktualizacji zabezpieczeń i pomocy technicznej.
Aplikacje i usługi często potrzebują tożsamości do uwierzytelniania się przy użyciu innych zasobów. Na przykład usługa internetowa może wymagać uwierzytelnienia w usłudze bazy danych. Jeśli aplikacja lub usługa ma wiele wystąpień, takich jak farma serwerów webowych, ręczne tworzenie i konfigurowanie tożsamości dla tych zasobów jest czasochłonne.
Zamiast tego można utworzyć konto usługi zarządzane przez grupę (gMSA) w domenie zarządzanej usług Microsoft Entra Domain Services. System operacyjny Windows automatycznie zarządza poświadczeniami dla gMSA (Grupa Zarządzanego Konta Usługowego), co upraszcza zarządzanie dużymi grupami zasobów.
W tym artykule pokazano, jak utworzyć gMSA w domenie zarządzanej przy użyciu programu Azure PowerShell.
Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:
Autonomiczne zarządzane konto usługi (sMSA) to konto domeny, którego hasło jest automatycznie zarządzane. Takie podejście upraszcza zarządzanie główną nazwą usługi (SPN) i umożliwia delegowanie zarządzania innym administratorom. Nie musisz ręcznie tworzyć i obracać poświadczeń dla konta.
Konto usługi zarządzane przez grupę (gMSA) zapewnia to samo uproszczenie zarządzania, ale dla wielu serwerów w domenie. GMSA umożliwia wszystkim instancjom usługi hostowanej w farmie serwerów użycie tej samej zasady serwisowej, aby protokoły wzajemnego uwierzytelniania działały poprawnie. Gdy gMSA jest używana jako jednostka usługi, system operacyjny Windows ponownie zarządza hasłem konta zamiast polegać na administratorze.
Aby uzyskać więcej informacji, zobacz konta usługi zarządzane przez grupę (gMSA) — omówienie.
Ponieważ domeny zarządzane są zablokowane i zarządzane przez firmę Microsoft, podczas korzystania z kont usług należy wziąć pod uwagę pewne kwestie:
Najpierw utwórz niestandardową jednostkę organizacyjną przy użyciu polecenia cmdlet New-ADOrganizationalUnit. Aby uzyskać więcej informacji na temat tworzenia niestandardowych jednostek organizacyjnych i zarządzania nimi, zobacz Niestandardowe Jednostki Organizacyjne w Usługach Domain Services.
Porada
Aby wykonać te kroki w celu utworzenia gMSA, użyj maszyny wirtualnej do zarządzania. Ta maszyna wirtualna zarządzania powinna mieć już wymagane polecenia cmdlet programu AD PowerShell i połączenie z zarządzaną domeną.
Poniższy przykład tworzy niestandardową jednostkę organizacyjną o nazwie myNewOU w domenie zarządzanej o nazwie aaddscontoso.com. Użyj własnej jednostki organizacyjnej i nazwy domeny zarządzanej:
New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"
Teraz utwórz konto gMSA przy użyciu polecenia cmdlet New-ADServiceAccount. Zdefiniowano następujące przykładowe parametry:
Określ własne nazwy i nazwy domen.
New-ADServiceAccount -Name WebFarmSvc `
-DNSHostName WebFarmSvc.aaddscontoso.com `
-Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
-KerberosEncryptionType AES128, AES256 `
-ManagedPasswordIntervalInDays 30 `
-ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
http/WebFarmSvc/aaddscontoso.com, `
http/WebFarmSvc/aaddscontoso `
-PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$
Aplikacje i usługi można teraz skonfigurować do korzystania z gMSA zgodnie z potrzebami.
Aby uzyskać więcej informacji o kontach gMSA, zobacz Wprowadzenie do kont usług zarządzanych przez grupę.
Zdarzenia
9 kwi, 15 - 10 kwi, 12
Zakoduj przyszłość za pomocą sztucznej inteligencji i połącz się z elementami równorzędnymi i ekspertami języka Java w witrynie JDConf 2025.
Zarejestruj się terazSzkolenie
Moduł
Zarządzanie użytkownikami i grupami w usłudze Microsoft Entra ID - Training
Zarządzanie użytkownikami i grupami w usłudze Microsoft Entra ID
Certyfikacja
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Demonstrate the features of Microsoft Entra ID to modernize identity solutions, implement hybrid solutions, and implement identity governance.
Dokumentacja
Ten przewodnik rozwiązywania problemów koncentruje się na tym, że wielokrotnie nie można zainstalować konta usługi. Odblokowuje instalację agenta aprowizacji programu Microsoft Entra Connect.
Ten dokument zawiera szczegółowe informacje dotyczące korzystania z konta gMSA z synchronizacją w chmurze
Ten przewodnik rozwiązywania problemów koncentruje się na tym, kiedy gMSA jest ustawiona na logowanie się jako usługa. Ułatwia to odblokowanie instalacji agenta aprowizacji programu Microsoft Entra Connect.