Tìm hiểu về Group Managed Service Accounts trong Windows Server 2012

Nhật Minh

Managed Service Accounts (MSA) - Tài khoản dịch vụ được quản lý - đã được giới thiệu trong Windows Server 2008 R2 để tự động quản lý (hoặc thay đổi) mật khẩu của các tài khoản dịch vụ. Sử dụng MSA, bạn có thể giảm đáng kể nguy cơ tài khoản hệ thống đang chạy các dịch vụ bị xâm phạm. MSA có một điểm yếu lớn đó là chỉ có thể sử dụng trên một máy tính. Nó có nghĩa là các tài khoản dịch vụ MSA không thể làm việc với các nhóm dịch vụ NLB (hoạt động đồng thời trên nhiều máy chủ và sử dụng cùng một tài khoản và mật khẩu). Để khắc phục điều này, Microsoft đã thêm tính năng của Group Managed Service Accounts (gMSA) - Tài khoản dịch vụ được quản lý theo nhóm vào Windows Server 2012.

Để tạo một gMSA, hãy làm theo các bước dưới đây

Bước 1 - Tạo KDS Root Key bằng dịch vụ KDS trên DC để tạo mật khẩu.

Tạo KDS Root Key

Để sử dụng key ngay lập tức trong môi trường thử nghiệm, bạn có thể chạy lệnh PowerShell:

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Để kiểm tra xem nó có tạo thành công hay không, hãy chạy lệnh PowerShell:

Get-KdsRootKey

Bước 2 - Để tạo và cấu hình gMSA → Mở Powershell terminal và gõ:

New – ADServiceAccount – name gmsa1 – DNSHostNamedc1.example.com – PrincipalsAllowedToRetrieveManagedPassword "gmsa1Group"

Trong đó,

gmsa1 là tên của tài khoản gMSA được tạo.
dc1.example.com là tên máy chủ DNS.
gmsa1Group là nhóm thư mục hoạt động, bao gồm tất cả các hệ thống được sử dụng. Nhóm này phải được tạo trước trong Groups.

Để kiểm tra, vào Server Manager → Tools → Active Directory Users and Computers → Managed Service Accounts.

Kiểm tra việc tạo tài khoản

Bước 3 - Để cài đặt gMA trên máy chủ → mở PowerShell terminal và gõ vào các lệnh sau:

Install − ADServiceAccount – Identity gmsa1

```
Test − ADServiceAccount gmsa1
```

Kết quả sẽ hiện "True" sau khi chạy lệnh thứ hai, như được hiển thị trong ảnh chụp màn hình đưa ra dưới đây:

Kết quả hiển thị

Bước 4 - Chuyển đến phần Service properties, xác định rằng dịch vụ sẽ được chạy với tài khoản gMSA. Trong hộp This account trong tab Log on, hãy nhập tên tài khoản dịch vụ. Cuối tên gõ thêm biểu tượng $, có thể không cần điền mật khẩu. Sau khi thay đổi được lưu, khởi động lại dịch vụ.

Nhập tên tài khoản dịch vụ

Tài khoản sẽ nhận được thông báo “Log On as a Service” và mật khẩu sẽ được tự động truy xuất.

Xem thêm:

Thứ Năm, 28/06/2018 16:59

5 ★ 2 👨 1.199

Bạn nên đọc

Xác thực tài khoản!

Theo Nghị định 147/2024/ND-CP, bạn cần xác thực tài khoản trước khi sử dụng tính năng này. Chúng tôi sẽ gửi mã xác thực qua SMS hoặc Zalo tới số điện thoại mà bạn nhập dưới đây:

Số điện thoại chưa đúng định dạng!