在 Microsoft Entra Domain Services 中建立群組受控服務帳戶 (gMSA)

  • 發行項

應用程式和服務通常需要身分識別來向其他資源驗證自己。 例如,Web 服務可能需要向資料庫服務進行驗證。 如果應用程式或服務有多個實例,例如 Web 服務器陣列,請手動建立和設定這些資源的身分識別相當耗時。

相反地,可以在 Microsoft Entra Domain Services 受控網域中建立群組受控服務帳戶 (gMSA)。 Windows OS 會自動管理 gMSA 的認證,以簡化大型資源群組的管理。

本文說明如何使用 Azure PowerShell 在受控網域中建立 gMSA。

開始之前

若要完成本文,您需要下列資源和許可權:

受控服務帳戶概觀

獨立受控服務帳戶 (sMSA) 是會自動管理其密碼的網域帳戶。 此方法可簡化服務主體名稱 (SPN) 管理,並讓委派的管理給其他系統管理員。 您不需要手動建立和輪替帳戶的認證。

群組受控服務帳戶 (gMSA) 提供相同的管理簡化,但針對網域中的多部伺服器。 gMSA 可讓裝載在伺服器陣列上之服務的所有實例使用相同的服務主體,讓相互驗證通訊協定能夠運作。 當 gMSA 作為服務主體使用時,Windows 作業系統會再次管理帳戶的密碼,而不是依賴系統管理員。

如需詳細資訊,請參閱 群組受控服務帳戶 (gMSA) 概觀

在 Domain Services 中使用服務帳戶

當受管理網域遭到 Microsoft 鎖定和管理時,使用服務帳戶時有一些考慮:

  • 在受控網域的自訂群組織單位 (OU) 中建立服務帳戶。
  • 金鑰散發服務 (KDS) 根金鑰已預先建立。
    • KDS 根金鑰可用來產生和擷取 gMSA 的密碼。 在 Domain Services 中,會為您建立 KDS 根目錄。
    • 您沒有建立另一個或檢視預設 KDS 根金鑰的許可權。

建立群組 gMSA

首先,使用 New-ADOrganizationalUnit Cmdlet 建立自訂 OU。 如需建立和管理自訂 OU 的詳細資訊,請參閱 Domain Services 中的自訂 OU。

提示

若要完成這些步驟以建立 gMSA, 請使用您的管理 VM 。 此管理 VM 應該已經有必要的 AD PowerShell Cmdlet 和受控網域的連線。

下列範例會在名為 aaddscontoso.com 的受控網域中建立名為 myNewOU 的自訂 OU。 使用您自己的 OU 和受控功能變數名稱:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

現在,使用 New-ADServiceAccount Cmdlet 建立 gMSA。 已定義下列範例參數:

  • -Name 設定為 WebFarmSvc
  • -Path 參數會指定上一個步驟中建立之 gMSA 的自訂 OU。
  • DNS 專案和服務主體名稱會設定為 WebFarmSvc.aaddscontoso.com
  • AADDSCONTOSO-SERVER$ 中的 主體可以擷取密碼並使用身分識別。

指定您自己的名稱和功能變數名稱。

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

應用程式與服務現在可以設定為視需要使用 gMSA。

下一步

如需 gMSA 的詳細資訊,請參閱 開始使用群組受管理的服務帳戶