Unterstützung für gruppenverwaltete Dienstkonten

Ab Operations Manager 2019 UR1 werden gruppenverwaltete Dienstkonten (Group Managed Service Accounts, gMSA) unterstützt. In diesem Artikel werden die Konten erläutert, die für gMSA verwendet werden, und die Prozeduren zur Unterstützung von gMSA.

Hinweis

Dieser Artikel gilt für Operations Manager 2019 UR1 und höher. Der Artikel enthält Informationen zur Verwendung von gMSA in Operations Manager, aber keine Informationen zu ihrer Erstellung. Informationen zum Erstellen von gMSA-Konten finden Sie unter gMSA-Konten.

Für gMSA verwendete Konten

Derzeit verwendet Operations Manager die folgenden Konten und Dienste:

  • Aktionskonten
    • Standardaktionskonto – Verwaltungsserver-Aktionskonto
    • Agentaktionskonto
    • GW-Server-Aktionskonto
    • Ausführende Konten
  • Der Konfigurationsdienst in System Center und der System Center-Datenzugriffsdienst (muss Teil einer lokalen Administratorgruppe sein)
  • Das Datenlesekonto (für SSRS) muss Mitglied der Gruppe „Administratoren für die Sicherheit von Operations Manager-Berichten“ sein.
  • Das Data Warehouse-Konto für Schreibvorgänge (für DW) muss Mitglied der Gruppe „Administratoren für die Sicherheit von Operations Manager-Berichten“ sein.
  • Agent-Installationskonto
    • MSAA erfordert standardmäßig Administratorrechte auf den Zielcomputern.

Zur Nutzung von gMSA müssen Administratoren folgende Aktionen ausführen:

Überprüfen, ob verwaltete Dienstkonten auf dem Computer verwendet werden können

Führen Sie den folgenden PowerShell-Befehl für jedes gMSA-Konto aus. Wenn true zurückgegeben wird, ist gMSA bereit für die Verwendung auf dem Verwaltungsserver, den Sie ausgewählt haben.

Test-ADServiceAccount \<gMSA\_name\>

Nächste Schritte

Führen Sie Folgendes durch, um gMSA zu verwenden:

Bereitstellen von Sicherheitsrechten

Ändern von Datenbanken

Kontoänderungen auf Dienstebene

Änderungen auf Konsolenebene