マネージドサービスアカウントにはドメインが必要ですか?
ローカルユーザーアカウントを作成する代わりに、実行中のサービスに割り当てるマネージドサービスアカウントを追加するスタンドアロンサーバー(ドメインなし)をセットアップしようとしています。
このタスクを自動化するためにPowershellコマンドレットを使用したいのですが、cmdツールなどを使用しても問題ありません。
目標は、標準(通常のコンピューターにはADがあるため、AD管理のMSAがあります)プロセスを使用して内部サービスを実行することですが、デモ目的でドメインを必要としません。
これは可能ですか?
あるいは、これを行うための同様のパスワードなしの方法があった場合は、それも使用していただければ幸いです。
マネージドサービスアカウント はWindows Serverの機能ではなく、ActiveDirectoryの機能です。
MSAを使用すると、特定のコンピューターに関連付けられているアカウントをActiveDirectoryに作成できます。
そして、これはそれがどのように機能するかです:
Windows Server 2008 R2 ADスキーマでは、
msDS-ManagedServiceAccount
という新しいオブジェクトクラスが導入されています。 ---オブジェクトは、コンピューターアカウントと同じように、同時にユーザーとコンピューターです。ただし、コンピュータアカウントのようなオブジェクトクラスの人は通常ありません。代わりに
msDS-ManagedServiceAccount
があります。 MSAは、「コンピュータ」の親オブジェクトクラスから継承しますが、ユーザーでもあります。 ---MSAは、コンピューターオブジェクトで使用されるのと同じパスワード更新メカニズムを利用する準コンピューターオブジェクトです。したがって、MSAアカウントのパスワードは、コンピューターがパスワードを更新するときに更新されます。
したがって、ドメインなしでMSAを使用することは不可能であり、 AD DS管理コマンドレット はドメインコントローラーでのみ機能します(すべてのユーザーがAD
を持っていることを示唆しています)。 Get-ADServiceAccount
。)のように
このデモ環境を既存のドメインの一部として使用したくない場合は、別のデモドメインを簡単に作成できます(または、コメントに記載されているように、代わりに 仮想アカウント を使用します)。デモサーバーの目的が、本番環境で使用する前に同じ環境で構成をテストすることである場合は、新しいドメインを作成することもできます。