GMSA-Konfiguration für Discovery

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 1 Minute Lesedauer

    • Group Managed Service Accounts (gMSAs) sind verwaltete Domänenaccounts, die Sie zur Sicherung von Services verwenden. GMSAs können ohne Anmeldeinformationen verwendet werden Discovery.

    Vorteile

    Nachdem Sie konfiguriert haben Discovery Zur Verwendung von GMSA wird die Passwortverwaltung für diesen Account von verwaltet Windows Betriebssystem. Sie können also ausführen Windows Discovery Ohne Freigabe von Anmeldeinformationen für ServiceNow Instanz. Zu den Vorteilen gehören:
    • Sie müssen GMSA-Passwörter nicht selbst verarbeiten.
    • Sie können den Zyklus der GMSA-Passwortrotation auswählen, um die Sicherheit zu verbessern.
    • Sie müssen das Passwort nicht auf speichern ServiceNow Instanz.
    • Der GMSA-Anwender muss kein Mitglied einer Domänenadministratorgruppe sein.
    • Der als verwendete GMSA-Anwender MID-Server Der Service-Account muss sich nicht in der lokalen Administratorgruppe von befinden MID-Server.

    Konfigurieren Sie GMSA für Discovery

    Verwenden Sie Group Managed Service Accounts (GMSA), um die sichere Ausführung zu gewährleisten MID Servers Und durchführen Windows Discovery, ohne Passwörter lokal zu speichern. Diese Konfiguration verbessert die Sicherheit und vereinfacht die Anmeldeinformationsverwaltung, indem Active Directory für automatische Passwortrotation und zentrale Steuerung verwendet wird.

    Vorbereitungen

    • Stellen Sie sicher, dass der GMSA-Account in Active Directory erstellt und konfiguriert wurde.
    • Fügen Sie die GMSA-Accounts zu hinzu MID-Server Lokale Administratorgruppe des Hosts.
    • Fügen Sie für Zielserver den GMSA-Account der Gruppe ihres lokalen Administrators hinzu.

    Erforderliche Rolle: Agent_admin, Discovery_admin oder admin

    Prozedur

    1. Erstellen Sie in der PowerShell-Befehlszeile mit den folgenden Befehlen einen KDS-Stammschlüssel auf einem Domänencontroller: 
      Add-KdsRootKey -EffectiveImmediately
      oder 
      Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))
    2. Richten Sie Ihre GMSA- und Sicherheitsgruppen mithilfe der Kontoinformationen für gruppenverwaltete Services ein https://docs.microsoft.com.
      Hinweis:
      Es ist normalerweise nicht erforderlich, erkannte hinzuzufügen Windows Server zur GMSAGroup. Mitgliedshosts erhalten die aktuellen und vorherigen Passwortwerte direkt von einem Domänencontroller, und Discovery Erfordert diesen Schritt nicht.
    3. Starten Sie MID-Server Mit dem GMSA-Account, der den Anweisungen zur Verwendung von GMSA folgt: Installieren Sie einen MID-Server unter Windows
    4. Erstellen Sie ein Windows Anmeldeinformationen für die Instanz, und aktivieren Sie das Kontrollkästchen Verwenden Sie den MID-Serverservicekonto .
    5. Starten Sie ein Discovery Auf dem Server, der hostet MID-Server Und ein anderer Computer.