Configuration gMSA pour Discovery

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Les comptes de service gérés par le groupe (GMSA) sont des comptes de domaine gérés qui vous permettent de sécuriser les services. Vous pouvez utiliser les gMSA dans Découverte sans informations d'identification.

    Avantages

    Une fois que vous avez configuré Découverte pour utiliser gMSA, le système d'exploitation Windows est chargé de la gestion des mots de passe pour ce compte. Ainsi, vous pouvez exécuter Windows Découverte sans partager d'informations d'identification avec l'instance ServiceNow. Les avantages sont les suivants :
    • Vous n'avez pas à gérer vous-même les mots de passe gMSA.
    • Vous pouvez choisir le cycle de rotation du mot de passe gMSA pour optimiser la sécurité.
    • Vous n'avez pas besoin de stocker le mot de passe sur l'instance ServiceNow.
    • L'utilisateur gMSA n'a pas besoin d'être membre d'un groupe Admin du domaine.
    • L'utilisateur gMSA utilisé comme compte de service Serveur MID n'a pas besoin de faire partie du groupe Admin local du Serveur MID.
    Figure 1. Vue de haut niveau de Discovery avec gMSA
    Vous pouvez exécuter la découverte Windows sans partager les informations d’identification avec l’instance ServiceNow.

    Configurer gMSA pour Discovery

    Pour utiliser gMSA pour les utilisateurs sans informations d’identification Découverte

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Sur la ligne de commande PowerShell, créez une clé racine KDS sur un contrôleur de domaine à l'aide des commandes suivantes : 
      Add-KdsRootKey -EffectiveImmediately
      ou 
      Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))
    2. Configurez vos gMSA et groupes de sécurité à l'aide des informations du compte de services gérés par le groupe : https://docs.microsoft.com.
    3. Démarrez avec Serveur MID le compte gMSA en suivant les instructions ci-dessous sur l’utilisation de gMSA :Installer un serveur MID sur Windows
    4. Créez des informations d'identification Windows sur l'instance et cochez la case Utiliser un compte de service MID Server.
    5. Lancez Découverte sur le serveur hébergeant le Serveur MID et un autre ordinateur.