gMSA-Konfiguration für Discovery

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Gruppenverwaltete Servicekonten (gMSAs) sind verwaltete Domänenkonten, die Sie zum Absichern von Services verwenden. gMSAs können für Discovery ohne Anmeldeinformationen verwendet werden.

    Vorteile

    Nachdem Sie Discovery für die Verwendung von gMSA konfiguriert haben, wird die Passwortverwaltung für dieses Konto vom Windows-Betriebssystem verarbeitet. Daher können Sie Windows Discovery ausführen, ohne die Anmeldeinformationen für die ServiceNow-Instanz freizugeben. Es ergeben sich unter anderem die folgenden Vorteile:
    • Sie müssen gMSA-Passwörter nicht selbst verwalten.
    • Sie können den Zyklus der gMSA-Passwortrotation für eine bessere Sicherheit auswählen.
    • Sie müssen das Passwort nicht in der ServiceNow-Instanz speichern.
    • Der gMSA-Benutzer muss nicht Mitglied einer Domänenadministratorgruppe sein.
    • Der als MID-Server-Servicekonto verwendete gMSA-Benutzer muss sich nicht in der lokalen Administratorgruppe des MID-Servers befinden.
    Abbildung : 1. Allgemeine Ansicht von Discovery mit gMSA
    Sie können Windows-Discovery ausführen, ohne Anmeldeinformationen für die ServiceNow-Instanz freizugeben.

    gMSA für Discovery konfigurieren

    Zur Verwendung von gMSAs für ohne Anmeldeinformationen Discovery

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Erstellen Sie in der PowerShell-Befehlszeile mit den folgenden Befehlen einen KDS-Stammschlüssel auf einem Domänencontroller: 
      Add-KdsRootKey -EffectiveImmediately
      oder 
      Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))
    2. Richten Sie Ihr gMSA und Ihre Sicherheitsgruppen mit den Informationen zu gruppenverwalteten Servicekonten unter https://docs.microsoft.com ein.
    3. Starten Sie MID-Server mit dem gMSA-Account. Befolgen Sie dabei die Anweisungen zur Verwendung von gMSA:MID-Server unter Windows installieren
    4. Erstellen Sie Windows-Anmeldeinformationen für die Instanz und aktivieren Sie das Kontrollkästchen MID Server-Service-Account verwenden.
    5. Starten Sie Discovery auf dem Server, auf dem der MID-Server gehostet wird, und auf einem anderen Computer.