Configuration gMSA pour Découverte

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Les comptes de service gérés de groupe (gMSA) sont des comptes de domaine gérés que vous utilisez pour sécuriser les services. Les gMSA peuvent être utilisés pour les fichiers sans informations d’identification Découverte.

    Avantages

    Une fois que vous avez configuré Découverte pour utiliser gMSA, la gestion des mots de passe pour ce compte est gérée par le système d’exploitation Windows . Vous pouvez donc exécuter Windows Découverte sans partager d’informations d’identification avec l’instance ServiceNow . Les avantages sociaux sont les suivants :
    • Vous n’avez pas à gérer vous-même les mots de passe gMSA.
    • Vous pouvez choisir le cycle de rotation des mots de passe gMSA pour une meilleure sécurité.
    • Vous n’avez pas besoin de stocker le mot de passe sur l’instance ServiceNow .
    • L’utilisateur gMSA n’a pas besoin d’être membre d’un groupe d’administrateurs de domaine.
    • L’utilisateur gMSA utilisé comme compte de Serveur MID service n’a pas besoin de faire partie du groupe administrateur local du Serveur MID.

    Configurer gMSA pour Découverte

    Utilisez des comptes de service gérés de groupe (gMSA) pour exécuter Serveurs MID et effectuer Windows la découverte en toute sécurité sans stocker les mots de passe localement. Cette configuration améliore la sécurité et simplifie la gestion des informations d’identification en tirant parti d’Active Directory pour la rotation automatique des mots de passe et le contrôle centralisé.

    Avant de commencer

    • Vérifiez que le compte gMSA est créé et configuré dans Active Directory.
    • Ajoutez les comptes gMSA au groupe de l’administrateur local de l’hôte Serveur MID .
    • Pour les serveurs cibles, ajoutez le compte gMSA à son groupe d’administrateurs local.

    Rôle requis : agent_admin, discovery_admin ou admin

    Procédure

    1. Sur la ligne de commande PowerShell, créez une clé racine KDS sur un contrôleur de domaine à l’aide des commandes suivantes : 
      Add-KdsRootKey -EffectiveImmediately
      ou 
      Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))
    2. Configurez vos groupes gMSA et de sécurité à l’aide des informations https://docs.microsoft.com du compte de services gérés de groupe .
      Remarque :
      Il n’est généralement pas nécessaire d’ajouter des serveurs découverts Windows à GMSAGroup. Les hôtes membres obtiennent les valeurs de mot de passe actuelles et précédentes directement à partir d’un contrôleur de domaine et Découverte ne nécessitent pas cette étape.
    3. Démarrez avec Serveur MID le compte gMSA en suivant les instructions ici sur l’utilisation de gMSA : Installer un serveur MID sur Windows
    4. Créez des Windows informations d’identification sur l’instance et cochez la case Utiliser le compte de service Serveur MID.
    5. Lancez un Découverte sur le serveur hébergeant le Serveur MID et un autre ordinateur.