Een computergroep en een door groepen beheerd serviceaccount maken voor Azure Monitor SCOM Managed Instance
In dit artikel wordt beschreven hoe u een gMSA-account (Group Managed Service Account), computergroep en domeingebruikersaccount maakt in on-premises Active Directory.
Notitie
Vereisten voor Active Directory
Als u Active Directory-bewerkingen wilt uitvoeren, installeert u de functie RSAT: Active Directory-domein Services en Lightweight Directory Tools. Installeer vervolgens het hulpprogramma Active Directory. U kunt dit hulpmiddel installeren op elke computer met domeinconnectiviteit. U moet zich aanmelden bij dit hulpprogramma met beheerdersmachtigingen om alle Active Directory-bewerkingen uit te voeren.
Een domeinaccount configureren in Active Directory
Maak een domeinaccount in uw Active Directory-exemplaar. Het domeinaccount is een typisch Active Directory-account. (Dit kan een niet-beheerdersaccount zijn.) U gebruikt dit account om de System Center Operations Manager-beheerservers toe te voegen aan uw bestaande domein.
Zorg ervoor dat dit account de machtigingen heeft om andere servers aan uw domein toe te voegen. U kunt een bestaand domeinaccount gebruiken als het deze machtigingen heeft.
U gebruikt het geconfigureerde domeinaccount in latere stappen om een exemplaar van SCOM Managed Instance en de volgende stappen te maken.
Een computergroep maken en configureren
Maak een computergroep in uw Active Directory-exemplaar. Zie Een groepsaccount maken in Active Directory voor meer informatie. Alle beheerservers die u maakt, maken deel uit van deze groep, zodat alle leden van de groep gMSA-inloggegevens kunnen ophalen. (U maakt deze inloggegevens tijdens latere stappen.) De groepsnaam mag geen spaties bevatten en mag alleen alfabettekens bevatten.
Als u deze computergroep wilt beheren, geeft u machtigingen op voor het domeinaccount dat u hebt gemaakt.
Selecteer de groepseigenschappen en selecteer vervolgens Beheerd door.
Voer bij Naam de naam van het domeinaccount in.
Schakel het selectievakje Manager in om de lidmaatschapslijst bij te werken.
Een gMSA-account maken en configureren
Maak een gMSA om de beheerserverservices uit te voeren en de services te verifiëren. Gebruik de volgende PowerShell-opdracht om een gMSA-serviceaccount te maken. De DNS-hostnaam kan ook worden gebruikt om het statische IP-adres te configureren en dezelfde DNS-naam te koppelen aan het statische IP-adres zoals in stap 8.
New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB
In deze opdracht:
ContosogMSAis de gMSA-naam.ContosoLB.aquiladom.comis de DNS-naam voor de load balancer. Gebruik dezelfde DNS-naam om het statische IP-adres te maken en dezelfde DNS-naam te koppelen aan het statische IP-adres als in stap 8.ContosoServerGroupis de computergroep die is gemaakt in Active Directory (eerder opgegeven).MSOMHSvc/ContosoLB.aquiladom.com,SMSOMHSvc/ContosoLB,MSOMSdkSvc/ContosoLB.aquiladom.comenMSOMSdkSvc/ContosoLBzijn service-principal-namen.
Notitie
Als de gMSA-naam langer is dan 14 tekens, moet u ervoor zorgen dat u instellen SamAccountName op minder dan 15 tekens, inclusief het $ teken.
Als de hoofdsleutel niet effectief is, gebruikt u de volgende opdracht:
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Zorg ervoor dat het gemaakte gMSA-account een lokaal beheerdersaccount is. Als er beleid voor groepsbeleidsobjecten is voor de lokale beheerders op Active Directory-niveau, moet u ervoor zorgen dat het gMSA-account als lokale beheerder wordt gebruikt.
Belangrijk
Als u de behoefte aan uitgebreide communicatie met zowel uw Active Directory-beheerder als de netwerkbeheerder wilt minimaliseren, raadpleegt u Zelfverificatie. In het artikel worden de procedures beschreven die de Active Directory-beheerder en netwerkbeheerder gebruiken om hun configuratiewijzigingen te valideren en ervoor te zorgen dat de implementatie is geslaagd. Dit proces vermindert onnodige back-and-forth interacties van de Operations Manager-beheerder naar de Active Directory-beheerder en de netwerkbeheerder. Met deze configuratie bespaart u tijd voor de beheerders.