2013/10/15

Windows Server 2012以降の“グループの”管理されたサービスアカウント(gMSAs)について

Windows Server 2012から導入された[グループの管理されたサービスアカウント(Group Managed Service Account: gMSAs)]についてちょっと誤解していました。次のような感じで、ドメインコントローラー側でサービスアカウントを準備し、メンバーサーバーにインストールするという使い方だと、今さっきまで思っていましたが...


ドメインコントローラーで実行:
New-ADServiceAccount <サービスアカウント名> -DNSHostName <サービスのDNS名(サービスアカウント名.DNSサフィックスとか)> [-ServicePrincipalNames <SPN名>] -Enabled $true
Set-ADServiceAccount  -Identity <サービスアカウント名> -PrincipalsAllowedToRetrieveManagedPassword <サーバー名>$

メンバーサーバーで実行(←こちらが必須だと思ってたら、必須ではなくなってた):
Install-ADServiceAccount -Identity <サービスアカウント名> 

メンバーサーバーで実行する Install-ADServiceAccount は、実行しなくてもOKでした。Install-ADServiceAccountは、Windows Server 2008 R2の[管理されたサービスアカウント(Managed Service Account、Standalone MSA]では実行するのが必須ですが、Windows Server 2012以降のgMSA(“グループの”)ではコマンドラインの意味が違ってきます。gMSAに対して実行すると、サービスアカウントをインストールするのではなく、サービスアカウントの資格情報をキャッシュするだけのようでして、サービスコントロールマネージャーとかでサービスアカウント設定をすれば勝手に行ってくれるものでした。New-ADServiceAccountでスタンドアロンタイプのMSAを作成した場合は(-RestrictToSingleComputer $trueを使用)、引き続きInstall-ADServiceAccountが必須になると思います。
『Windows Server 2012テクノロジ入門』(日経BP社)をお持ちのお客様、書籍のP130ではこのあたりの記述が不正確なのでご注意ください。

こちらのドキュメントを見てて、Install-ADServiceAccount実行してないのにどうしてって思ったら、こういうことでした。

Set up the lab environment for AD FS in Windows Server 2012 R2
http://technet.microsoft.com/en-us/library/dn280939.aspx

0 件のコメント: