Vytvoření a použití gMSA účtu
ŘADIČ DOMÉNY
DC potřebuje root key k vygenerování gMSA hesla:
Add-KdsRootKey -EffectiveTime ((get-date).addHours(-10))
Vytvoříme účet, option -DNSHostName je server na kterém bude účet použit:
New-ADServiceAccount -Name TestSVC -Path "CN=Managed Service Accounts,DC=lab,DC=ad" -DNSHostName WIN-K1SRDP2E8EJ.lab.ad''
Nastavíme účet, WIN-K1SRDP2E8EJ$ je server na kterém bude účet použit:
Set-ADServiceAccount -Identity TestSVC -PrincipalsAllowedToRetrieveManagedPassword WIN-K1SRDP2E8EJ$
SERVER
Nainstalujeme AD modul pro PowerShell
Import-Module ServerManager Add-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature
Otestujeme účet, výsledek „True“ znamená úspěch » účet můžeme začít používat
Test-ADServiceAccount -Identity TestSVC True
Odebrání AD modulu pro PowerShell
Remove-WindowsFeature -Name "RSAT-AD-PowerShell"
Po nastavení služby není možné měnit hodnoty na kartě Log On. Příkaz pro zpřístupnění karty
sc managedaccount jmeno_sluzby false