Discovery를 위한 gMSA 구성

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기1분

    • gMSA(그룹 관리형 서비스 계정)는 보안 서비스를 지원하는 데 사용하는 관리형 도메인 계정입니다. gMSA는 자격 증명이 없는 검색에 사용할 수 있습니다.

    이점

    gMSA를 사용하도록 검색를 구성한 후에는 해당 계정의 암호 관리가 Windows 운영 체제에서 처리됩니다. 따라서 ServiceNow 인스턴스와 자격 증명을 공유하지 않고 Windows 검색를 실행할 수 있습니다. 이점은 다음과 같습니다.
    • gMSA 암호를 직접 처리할 필요가 없습니다.
    • gMSA 암호 순환 주기를 선택하여 보안을 강화할 수 있습니다.
    • ServiceNow 인스턴스에 암호를 저장할 필요가 없습니다.
    • gMSA 사용자는 도메인 관리 그룹의 구성원일 필요가 없습니다.
    • MID 서버 서비스 계정으로 사용되는 gMSA 사용자는 MID 서버의 로컬 관리자 그룹에 있을 필요가 없습니다.
    그림 1. gMSA를 사용한 Discovery의 대략적인 뷰
    ServiceNow 인스턴스와 자격 증명을 공유하지 않고도 Windows Discovery를 실행할 수 있습니다.

    Discovery를 위한 gMSA 구성

    자격 증명이 없는 경우 gMSA를 사용하려면 검색

    시작하기 전에

    필요한 역할: admin

    프로시저

    1. PowerShell 명령줄에서 다음 명령을 사용하여 도메인 컨트롤러에 KDS 루트 키를 생성합니다. 
      Add-KdsRootKey -EffectiveImmediately
      or 
      Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))
    2. 그룹 관리형 서비스 계정 정보를 사용하여 gMSA 및 보안 그룹 설정 https://docs.microsoft.com
    3. gMSA 사용 지침(Windows에 MID Server 설치)에 따라 gMSA 계정으로 MID 서버를 시작합니다.
    4. 인스턴스에 Windows 자격 증명을 생성하고 MID Server 서비스 계정 사용 확인란을 선택합니다.
    5. MID 서버 및 다른 컴퓨터를 호스팅하는 서버에서 검색를 시작합니다.