Configuration gMSA pour Discovery

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Les comptes de service gérés par le groupe (GMSA) sont des comptes de domaine gérés qui vous permettent de sécuriser les services. Vous pouvez utiliser les gMSA dans Détection sans informations d'identification.

    Avantages

    Une fois que vous avez configuré Détection pour utiliser gMSA, le système d'exploitation Windows est chargé de la gestion des mots de passe pour ce compte. Ainsi, vous pouvez exécuter Windows Détection sans partager d'informations d'identification avec l'instance ServiceNow. Les avantages sont les suivants :
    • Vous n'avez pas à gérer vous-même les mots de passe gMSA.
    • Vous pouvez choisir le cycle de rotation du mot de passe gMSA pour optimiser la sécurité.
    • Vous n'avez pas besoin de stocker le mot de passe sur l'instance ServiceNow.
    • L'utilisateur gMSA n'a pas besoin d'être membre d'un groupe Admin du domaine.
    • L'utilisateur gMSA utilisé comme compte de service Serveur MID n'a pas besoin de faire partie du groupe Admin local du Serveur MID.
    Figure 1. Vue de haut niveau de Discovery avec gMSA
    Vous pouvez exécuter Windows Discovery sans partager d’informations d’identification avec l’instance ServiceNow.

    Configurer gMSA pour Discovery

    Pour utiliser des gMSA pour les Détection

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Sur la ligne de commande PowerShell, créez une clé racine KDS sur un contrôleur de domaine à l'aide des commandes suivantes : 
      Add-KdsRootKey -EffectiveImmediately
      ou 
      Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))
    2. Configurez vos gMSA et groupes de sécurité à l'aide des informations du compte de services gérés par le groupe : https://docs.microsoft.com.
    3. Démarrez avec Serveur MID le compte gMSA en suivant les instructions présentées ici sur l’utilisation de gMSA :Installer un MID Server sur Windows
    4. Créez des informations d'identification Windows sur l'instance et cochez la case Utiliser un compte de service MID Server.
    5. Lancez Détection sur le serveur hébergeant le Serveur MID et un autre ordinateur.