1. 使用 Group MSA的基本環境需求:
。伺服器版本: 目標伺服器需為 Windows Server 2012或以上版本
。網域控制站版本: 至少一部網域控制站需為 Windows Server 2012或以上
。Active Directory架構: 必須是 Windows Server 2012或以上的功能等級
。Key Distribution Service(KDS): AD必須啟用 KDS服務, 用來產生與管理 Group MSA密碼
。主機加入安全性群組: 要執行 Group MSA的伺服器必須加入到 Group MSA指定的安全性群組 中
2. 啟用 KDS Root Key(僅需做一次)
在第一次使用 Group MSA前, 需在 AD網域中建立 KDS Root Key, 用來產生 Group MSA密碼:
Add-KdsRootKey –EffectiveImmediately w-studio.idv.tw
使用 -EffectiveImmediately會讓 key馬上生效, 但建議在正式環境中加入 10小時延遲以避免同步問題:
Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(10))
3. 建立與使用 Group MSA的基本流程
。建立 Group MSA:
New-ADServiceAccount -Name MyGmsaAccount -DNSHostName mydomain.local -PrincipalsAllowedToRetrieveManagedPassword "MyGmsaHostsGroup"
。將伺服器加入授權群組:
Add-ADGroupMember -Identity "MyGmsaHostsGroup" -Members "MyServer01$"
。在目標伺服器上安裝 Group MSA:
Install-ADServiceAccount -Identity MyGmsaAccount
。測試是否安裝成功:
Test-ADServiceAccount -Identity MyGmsaAccount
沒有留言:
張貼留言