Compte de service géré par groupe (gMSA)

Le Group Managed Service Account (gMSA) est à bien des égards similaire aux comptes de service gérés. Il dispose d'une gestion automatique des mots de passe, avec un long mot de passe qui est automatiquement mis à jour périodiquement. La différence entre les comptes de service gérés et le gMSA est que plusieurs machines peuvent utiliser le même compte. Donc, si vous exécutez un service dans une ferme de serveurs et que vous souhaitez utiliser l'authentification intégrée, vous devriez utiliser le gMSA. Lorsque le client demande un ticket Kerberos pour accéder au service, peu importe quelle instance dans la ferme de serveurs traite la demande.

Pour que le gMSA fonctionne dans l'Active Directory, et comme condition préalable à l'utilisation du gMSA lors de l'installation de Gatekeeper, l'administrateur de domaine doit créer la clé racine du service de distribution de clés. Cela peut être fait en se connectant à un contrôleur de domaine (Windows Server 2012 ou version ultérieure) et en exécutant « Add-KdsRootKey -EffectiveImmediately » à partir de PowerShell qui a le module Active Directory de Windows PowerShell installé.

Remarque

Même si le drapeau -EffectiveImmediately est utilisé, il peut falloir un certain temps pour que le DC crée la clé racine KDS. Get-KdsRootKey peut être utilisé pour vérifier que la clé racine KDS a été créée.

Plus d'informations sur gMSA: https://learn.microsoft.com/fr-fr/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview

Plus d'informations sur la création de la clé racine KDS: https://learn.microsoft.com/fr-fr/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key

Création du gMSA lors de l'installation de Gatekeeper

Les administrateurs peuvent laisser le processus d'installation créer le gMSA ou l'administrateur peut choisir un gMSA existant. L'assistant d'installation de Gatekeeper configurera les autorisations nécessaires pour que la machine où Gatekeeper est installé soit autorisée à utiliser le compte gMSA. Si le compte gMSA est créé pendant l'installation, le serveur qui installe Gatekeeper doit être redémarré afin d'obtenir les jetons nécessaires pour accéder au compte gMSA. Le processus de redémarrage devrait être fluide et rouvrir l'assistant d'installation lors de la connexion, ce qui devrait reprendre avant le redémarrage.