Getting Started with Group Managed Service AccountsGetting Started with Group Managed Service Accounts

S'applique à : Windows Server (Canal semi-annuel), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Ce guide fournit des instructions pas à pas et des informations générales sur l’activation et l’utilisation de comptes de service administrés de groupe dans Windows Server 2012.This guide provides step-by-step instructions and background information for enabling and using group Managed Service Accounts in Windows Server 2012 .

Dans ce documentIn this document

Notes

Cette rubrique inclut des exemples d'applets de commande Windows PowerShell que vous pouvez utiliser pour automatiser certaines des procédures décrites.This topic includes sample Windows PowerShell cmdlets that you can use to automate some of the procedures described. Pour plus d’informations, consultez Utilisation des applets de commande.For more information, see Using Cmdlets.

Configuration requisePrerequisites

Reportez-vous à la section Configuration requise pour les comptes de service administrés de groupe de cette rubrique.See the section in this topic on Requirements for group Managed Service Accounts.

IntroductionIntroduction

Lorsqu'un ordinateur client se connecte à un service qui est hébergé sur une batterie de serveurs à l'aide de l'équilibrage de la charge réseau ou d'une autre méthode dans laquelle tous les serveurs sont présentés au client comme étant un même service, les protocoles d'authentification prenant en charge l'authentification mutuelle comme Kerberos ne peuvent alors pas être utilisés sauf si toutes les instances des services utilisent le même principal.When a client computer connects to a service which is hosted on a server farm using network load balancing (NLB) or some other method where all the servers appear to be the same service to the client, then authentication protocols supporting mutual authentication such as Kerberos cannot be used unless all the instances of the services use the same principal. Cela signifie que tous les services doivent utiliser les mêmes mots de passe/clés pour prouver leur identité.This means that each service has to use the same passwords/keys to prove their identity.

Notes

Les clusters de basculement ne prennent pas en charge les comptes de service administrés de groupe (gMSA, group Managed Service Account).Failover clusters do not support gMSAs. Toutefois, les services qui s'exécutent sur le service de cluster peuvent utiliser un compte gMSA ou un compte de service administré autonome (sMSA, standalone Managed Service Account) s'il s'agit d'un service Windows, d'un pool d'applications, d'une tâche planifiée ou s'ils prennent nativement en charge les comptes gMSA ou sMSA.However, services that run on top of the Cluster service can use a gMSA or a sMSA if they are a Windows service, an App pool, a scheduled task, or natively support gMSA or sMSA.

Les principaux suivants sont disponibles pour les services, chacun avec certaines limitations.Services have the following principals from which to choose, and each has certain limitations.

PrincipauxPrincipals ÉtendueScope Services pris en chargeServices supported Gestion des mots de passePassword management
Compte d'ordinateur du système WindowsComputer Account of Windows system DomaineDomain Limité à un serveur joint à un domaineLimited to one domain joined server Géré par l'ordinateurComputer manages
Compte d'ordinateur sans système WindowsComputer Account without Windows system DomaineDomain Tout serveur joint à un domaineAny domain joined server AucunNone
Compte virtuelVirtual Account LocalLocal Limité à un serveurLimited to one server Géré par l'ordinateurComputer manages
Compte de service administré autonome Windows 7Windows 7 standalone Managed Service Account DomaineDomain Limité à un serveur joint à un domaineLimited to one domain joined server Géré par l'ordinateurComputer manages
Compte d’utilisateurUser Account DomaineDomain Tout serveur joint à un domaineAny domain joined server AucunNone
Compte de service administré de groupeGroup Managed Service Account DomaineDomain Tout serveur joint à un domaine Windows Server 2012Any Windows Server 2012 domain-joined server Le contrôleur de domaine gère et l'hôte récupèreThe domain controller manages, and the host retrieves

Un compte d'ordinateur Windows, un compte de service administré autonome (sMSA) Windows 7 ou des comptes virtuels ne peuvent pas être partagés sur plusieurs systèmes.A Windows computer account, or a Windows 7 standalone Managed Service Account (sMSA), or virtual accounts cannot be shared across multiple systems. Si vous configurez un compte à partager par les services de la batterie de serveurs, vous devrez choisir un compte d'utilisateur ou un compte d'ordinateur en dehors d'un système Windows.If you configure one account for services on server farms to share, you would have to choose a user account or a computer account apart from a Windows system. Dans tous les cas, ces comptes n'ont pas la capacité de gérer les mots de passe depuis un seul point de contrôle.Either way, these accounts do not have the capability of single-point-of-control password management. Cette situation est problématique, car chaque organisation doit alors créer une solution coûteuse pour mettre à jour les clés du service dans Active Directory, puis les distribuer à toutes les instances de ces services.This creates problem where each organization needs to create an expensive solution to update keys for the service in Active Directory and then distribute the keys to all instances of those services.

Avec Windows Server 2012, les services ou les administrateurs de services n’ont pas besoin de gérer la synchronisation de mot de passe entre les instances de service lors de l’utilisation de comptes de service administrés de groupe (gMSA).With Windows Server 2012 , services or service administrators do not need to manage password synchronization between service instances when using group Managed Service Accounts (gMSA). Vous configurez la fonctionnalité gMSA dans Active Directory, puis configurez le service qui prend en charge les comptes de service administrés.You provision the gMSA in AD and then configure the service which supports Managed Service Accounts. Vous pouvez configurer un compte gMSA à l'aide des applets de commande *-ADServiceAccount qui font partie du module Active Directory.You can provision a gMSA using the *-ADServiceAccount cmdlets which are part of the Active Directory module. La configuration de l'identité du service sur l'hôte est prise en charge par :Service identity configuration on the host is supported by:

  • Les mêmes API que les comptes sMSA, de sorte que les produits qui prennent en charge les comptes sMSA prendront en charge les comptes gMSASame APIs as sMSA, so products which support sMSA will support gMSA

  • Les services qui utilisent le Gestionnaire de contrôle des services pour configurer l'identité d'ouverture de sessionServices which use Service Control Manager to configure logon identity

  • Les services qui utilisent le Gestionnaire des services IIS pour les pools d'applications pour configurer l'identitéServices which use the IIS manager for application pools to configure identity

  • Les tâches qui utilisent le Planificateur de tâchesTasks using Task Scheduler.

Conditions requises pour les comptes de service administrés de groupeRequirements for group Managed Service Accounts

Le tableau suivant répertorie la configuration requise du système d'exploitation pour que l'authentification Kerberos puisse fonctionner avec les services utilisant des comptes gMSA.The following table lists the operating system requirements for Kerberos authentication to work with services using gMSA. Les conditions requises pour Active Directory sont répertoriées à la suite de ce tableau.The Active Directory requirements are listed after the table.

Une architecture 64 bits est requise pour exécuter les commandes Windows PowerShell utilisées pour administrer les comptes de service administrés de groupe.A 64-bit architecture is required to run the Windows PowerShell commands used to administer group Managed Service Accounts.

Système d'exploitation requisOperating system requirements

ÉlémentElement Condition requiseRequirement Système d’exploitationOperating system
Hôte d'application clienteClient Application host Client Kerberos conforme aux RFCRFC compliant Kerberos client Au minimum Windows XPAt least Windows XP
Contrôleurs de domaine du domaine du compte d’utilisateurUser account's domain DCs KDC conforme aux RFCRFC compliant KDC Au minimum Windows Server 2003At least Windows Server 2003
Hôtes membres du service partagéShared service member hosts Windows Server 2012Windows Server 2012
Contrôleurs de domaine de domaine de l’hôte membreMember host's domain DCs KDC conforme aux RFCRFC compliant KDC Au minimum Windows Server 2003At least Windows Server 2003
Contrôleurs de domaine du domaine du compte gMSAgMSA account's domain DCs Contrôleurs de l’ordinateur Windows Server 2012 disponibles pour l’hôte afin de récupérer le mot de passeWindows Server 2012 DCs available for host to retrieve the password Domaine avec Windows Server 2012 qui peut avoir des systèmes antérieurs à Windows Server 2012Domain with Windows Server 2012 which can have some systems earlier than Windows Server 2012
Hôte de service principalBackend service host Serveur d'application Kerberos conforme aux RFCRFC compliant Kerberos application server Au minimum Windows Server 2003At least Windows Server 2003
Contrôleurs de domaine du domaine du compte de service principalBackend service account's domain DCs KDC conforme aux RFCRFC compliant KDC Au minimum Windows Server 2003At least Windows Server 2003
Windows PowerShell pour Active DirectoryWindows PowerShell for Active Directory Windows PowerShell pour Active Directory installé localement sur un ordinateur prenant en charge une architecture 64 bits ou sur votre ordinateur d'administration à distance (utilisant par exemple les Outils d'administration de serveur distant)Windows PowerShell for Active Directory installed locally on a computer supporting a 64-bit architecture or on your remote management computer (for example, using the Remote Server Administration Toolkit) Windows Server 2012Windows Server 2012

Conditions requises pour le service de domaine Active DirectoryActive Directory Domain Service requirements

  • Le schéma de Active Directory dans la forêt du domaine gMSA doit être mis à jour vers Windows Server 2012 pour créer un gMSA.The Active Directory schema in the gMSA domain's forest needs to be updated to Windows Server 2012 to create a gMSA.

    Vous pouvez mettre à jour le schéma en installant un contrôleur de domaine qui exécute Windows Server 2012 ou en exécutant la version de adprep.exe à partir d’un ordinateur exécutant Windows Server 2012.You can update the schema by installing a domain controller that runs Windows Server 2012 or by running the version of adprep.exe from a computer running Windows Server 2012 . La valeur de l'attribut object-version de l'objet CN=Schema,CN=Configuration,DC=Contoso,DC=Com doit être 52.The object-version attribute value for the object CN=Schema,CN=Configuration,DC=Contoso,DC=Com must be 52.

  • Nouveau compte gMSA configuréNew gMSA account provisioned

  • Si vous gérez l'autorisation de l'hôte de service à utiliser gMSA par groupe, alors groupe de sécurité nouveau ou existantIf you are managing the service host permission to use gMSA by group, then new or existing security group

  • Si vous gérez le contrôle d'accès au service par groupe, alors groupe de sécurité nouveau ou existantIf managing service access control by group, then new or existing security group

  • Si la première clé racine principale pour Active Directory n'est pas déployée dans le domaine ou n'a pas été créée, alors créez-la.If the first master root key for Active Directory is not deployed in the domain or has not been created, then create it. Le résultat de sa création peut être vérifié dans le journal des opérations du service KDS, ID d'événement 4004.The result of its creation can be verified in the KdsSvc Operational log, Event ID 4004.

Pour obtenir des instructions sur la création de la clé, consultez créer la clé racine KDS des services de distribution de clés.For instructions how to create the key, see Create the Key Distribution Services KDS Root Key. Le service de distribution de clés Microsoft (kdssvc.dll) crée la clé racine pour Active Directory.Microsoft Key Distribution Service (kdssvc.dll) the root key for AD.

Cycle de vieLifecycle

Le cycle de vie d'une batterie de serveurs utilisant la fonctionnalité gMSA comporte généralement les tâches suivantes :The lifecycle of a server farm using the gMSA feature typically involves the following tasks:

  • Déploiement d'une nouvelle batterie de serveursDeploying a new server farm

  • Ajout d'hôtes membres à une batterie de serveurs existanteAdding member hosts to an existing server farm

  • Désaffectation d'hôtes membres d'une batterie de serveurs existanteDecommissioning member hosts from an existing server farm

  • Désaffectation d'une batterie de serveurs existanteDecommissioning an existing server farm

  • Suppression d'un hôte membre compromis d'une batterie de serveurs, le cas échéant.Removing a compromised member host from a server farm if required.

Déploiement d'une nouvelle batterie de serveursDeploying a new server farm

Lors du déploiement d'une nouvelle batterie de serveurs, l'administrateur du service devra déterminer les éléments suivants :When deploying a new server farm, the service administrator will need to determine:

  • Si le service prend en charge l'utilisation de comptes gMSAIf the service supports using gMSAs

  • Si le service nécessite des connexions entrantes et sortantes authentifiéesIf the service requires inbound or outbound authenticated connections

  • Les noms de comptes d'ordinateur des hôtes membres du service utilisant la fonctionnalité gMSAThe computer account names for the member hosts for the service using the gMSA

  • Le nom NetBIOS du serviceThe NetBIOS name for the service

  • Le nom d'hôte DNS du serviceThe DNS host name for the service

  • Les noms de principal du service (SPN) pour le serviceThe Service Principal Names (SPNs) for the service

  • L'intervalle de modification de mot de passe (la valeur par défaut est 30 jours).The password change interval (default is 30 days).

Étape 1 : Configuration des comptes de service administrés de groupeStep 1: Provisioning group Managed Service Accounts

Vous pouvez créer un gMSA uniquement si le schéma de forêt a été mis à jour vers Windows Server 2012, si la clé racine principale de Active Directory a été déployée et qu’il existe au moins un contrôleur de domaine Windows Server 2012 dans le domaine dans lequel le gMSA sera créé.You can create a gMSA only if the forest schema has been updated to Windows Server 2012 , the master root key for Active Directory has been deployed, and there is at least one Windows Server 2012 DC in the domain in which the gMSA will be created.

L’appartenance au groupe Admins du domaine ou la possibilité de créer des objets MSDS-GroupManagedServiceAccount est la condition minimale requise pour effectuer les procédures suivantes.Membership in Domain Admins or the ability to create msDS-GroupManagedServiceAccount objects, is the minimum required to complete the following procedures.

Notes

Une valeur pour le paramètre-Name est toujours requise (que vous spécifiiez-Name ou non), with-DNSHostName,-RestrictToSingleComputer et-RestrictToOutboundAuthentication étant des exigences secondaires pour les trois scénarios de déploiement.A value for the -Name parameter is always required (whether you specify -Name or not), with -DNSHostName, -RestrictToSingleComputer, and -RestrictToOutboundAuthentication being secondary requirements for the three deployment scenarios.

Pour créer un compte gMSA à l'aide de la nouvelle applet de commande New-ADServiceAccountTo create a gMSA using the New-ADServiceAccount cmdlet

  1. Sur le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.On the Windows Server 2012 domain controller, run Windows PowerShell from the Taskbar.

  2. À l'invite de commandes de Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :At the command prompt for the Windows PowerShell, type the following commands, and then press ENTER. (Le module Active Directory sera chargé automatiquement.)(The Active Directory module will load automatically.)

    New-ADServiceAccount [-name] < chaîne > -dNSHostName < chaîne > [-KerberosEncryptionType < ADKerberosEncryptionType > ] [-ManagedPasswordIntervalInDays <Nullable [Int32] >] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal [] >] [-SamAccountName < chaîne > ] [-ServicePrincipalNames <String [] >]New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]

    ParamètreParameter StringString ExempleExample
    NomName Nom du compteName of the account BatterieIT1ITFarm1
    DNSHostNameDNSHostName Nom d'hôte DNS du serviceDNS host name of service BatterieIT1.contoso.comITFarm1.contoso.com
    KerberosEncryptionTypeKerberosEncryptionType Tout type de chiffrement pris en charge par les serveurs hôtesAny encryption types supported by the host servers None, RC4, AES128, AES256None, RC4, AES128, AES256
    ManagedPasswordIntervalInDaysManagedPasswordIntervalInDays Intervalle de modification de mot de passe exprimé en jours (la valeur par défaut est 30 jours)Password change interval in days (default is 30 days if not provided) 9090
    PrincipalsAllowedToRetrieveManagedPasswordPrincipalsAllowedToRetrieveManagedPassword Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membresThe computer accounts of the member hosts or the security group that the member hosts are a member of HôtesBatterieITITFarmHosts
    SamAccountNameSamAccountName Nom NetBIOS du service s'il est différent de NameNetBIOS name for the service if not same as Name BatterieIT1ITFarm1
    ServicePrincipalNamesServicePrincipalNames Noms de principal du service (SPN) pour le serviceService Principal Names (SPNs) for the service http/Batterieit1. contoso. com/contoso. com, http/Batterieit1. contoso. com/contoso, http/Batterieit1/contoso. com, http/Batterieit1/contoso, MSSQLSvc/Batterieit1. contoso. com : 1433, MSSQLSvc/Batterieit1. contoso. com : INST01http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

    Important

    L'intervalle de modification de mot de passe ne peut être défini qu'à la création.The password change interval can only be set during creation. Si vous avez besoin de modifier l'intervalle, vous devez créer un nouveau compte gMSA et définir l'intervalle au moment de la création.If you need to change the interval, you must create a new gMSA and set it at creation time.

    ExempleExample

    Entrez la commande sur une seule ligne, même si elle tient ici sur plusieurs lignes du fait de contraintes de mise en forme.Enter the command on a single line, even though they might appear word-wrapped across several lines here because of formatting constraints.

    New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
    

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de créer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes.Membership in Domain Admins, Account Operators, or ability to create msDS-GroupManagedServiceAccount objects, is the minimum required to complete this procedure. Pour plus d’informations sur l’utilisation des comptes et des appartenances aux groupes appropriés, voir groupes locaux et de domaine par défaut.For detailed information about using the appropriate accounts and group memberships, see Local and Domain Default Groups.

Pour créer un compte gMSA pour l'authentification sortante en utilisant uniquement l'applet de commande New-ADServiceAccountTo create a gMSA for outbound authentication only using the New-ADServiceAccount cmdlet
  1. Sur le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.On the Windows Server 2012 domain controller, run Windows PowerShell from the Taskbar.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    New-ADServiceAccount [-name] < chaîne > -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable [Int32] >] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal [] >]New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]

    ParamètreParameter StringString ExempleExample
    NomName Nom du compteName the account BatterieIT1ITFarm1
    ManagedPasswordIntervalInDaysManagedPasswordIntervalInDays Intervalle de modification de mot de passe exprimé en jours (la valeur par défaut est 30 jours)Password change interval in days (default is 30 days if not provided) 7575
    PrincipalsAllowedToRetrieveManagedPasswordPrincipalsAllowedToRetrieveManagedPassword Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membresThe computer accounts of the member hosts or the security group that the member hosts are a member of HôtesBatterieITITFarmHosts

    Important

    L'intervalle de modification de mot de passe ne peut être défini qu'à la création.The password change interval can only be set during creation. Si vous avez besoin de modifier l'intervalle, vous devez créer un nouveau compte gMSA et définir l'intervalle au moment de la création.If you need to change the interval, you must create a new gMSA and set it at creation time.

ExempleExample

New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$

Étape 2 : Configuration du service d'application d'identité au serviceStep 2: Configuring service identity application service

Pour configurer les services dans Windows Server 2012, consultez la documentation sur les fonctionnalités suivantes :To configure the services in Windows Server 2012 , see the following feature documentation:

D'autres services peuvent prendre en charge la fonctionnalité gMSA.Other services could support gMSA. Reportez-vous à la documentation produit spécifique pour plus d'informations sur la configuration de ces services.See the appropriate product documentation for details on how to configure those services.

Ajout d'hôtes membres à une batterie de serveurs existanteAdding member hosts to an existing server farm

Si vous utilisez des groupes de sécurité pour la gestion des hôtes membres, ajoutez le compte d’ordinateur du nouvel hôte membre au groupe de sécurité (dont les hôtes membres de gMSA sont membres) à l’aide de l’une des méthodes suivantes.If using security groups for managing member hosts, add the computer account for the new member host to the security group (that the gMSA's member hosts are a member of) using one of the following methods.

Vous devez au minimum appartenir au groupe Admins du domaine ou avoir la capacité d'ajouter des membres à l'objet de groupe de sécurité pour réaliser ces procédures.Membership in Domain Admins, or the ability to add members to the security group object, is the minimum required to complete these procedures.

Si vous utilisez des comptes d'ordinateur, recherchez les comptes existants et ajoutez le nouveau compte d'ordinateur.If using computer accounts, find the existing accounts and then add the new computer account.

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de gérer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes.Membership in Domain Admins, Account Operators, or ability to manage msDS-GroupManagedServiceAccount objects, is the minimum required to complete this procedure. Pour plus d'informations sur l'utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.For detailed information about using the appropriate accounts and group memberships, see Local and Domain Default Groups.

Pour ajouter des hôtes membres à l'aide de l'applet de commande Set-ADServiceAccountTo add member hosts using the Set-ADServiceAccount cmdlet

  1. Sur le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.On the Windows Server 2012 domain controller, run Windows PowerShell from the Taskbar.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    ADServiceAccount [-Identity] < chaîne > -Propriétés PrincipalsAllowedToRetrieveManagedPasswordGet-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    Set-ADServiceAccount [-Identity] < chaîne > -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal [] >Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

ParamètreParameter StringString ExempleExample
NomName Nom du compteName the account BatterieIT1ITFarm1
PrincipalsAllowedToRetrieveManagedPasswordPrincipalsAllowedToRetrieveManagedPassword Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membresThe computer accounts of the member hosts or the security group that the member hosts are a member of Hôte1, Hôte2, Hôte3Host1, Host2, Host3

ExempleExample

Par exemple, pour ajouter des hôtes membres, tapez les commandes suivantes et appuyez sur Entrée.For example, to add member hosts type the following commands, and then press ENTER.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

Mise à jour des propriétés du compte de service administré de groupeUpdating the group Managed Service Account properties

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité d'écrire dans des objets msDS-GroupManagedServiceAccount pour réaliser ces procédures.Membership in Domain Admins, Account Operators, or the ability to write to msDS-GroupManagedServiceAccount objects, is the minimum required to complete these procedures.

Ouvrez le module Active Directory pour Windows PowerShell et définissez toute propriété à l'aide de l'applet de commande Set-ADServiceAccount.Open the Active Directory Module for Windows PowerShell, and set any property by using the Set-ADServiceAccount cmdlet.

Pour plus d’informations sur la définition de ces propriétés, voir Set-ADServiceAccount dans la Bibliothèque TechNet ou tapez Get-Help Set-ADServiceAccount à l’invite de commandes du module Active Directory pour Windows PowerShell et appuyez sur ENTRÉE.For detailed information how to set these properties, see Set-ADServiceAccount in the TechNet Library or by typing Get-Help Set-ADServiceAccount at the Active Directory module for Windows PowerShell command prompt and pressing ENTER.

Désaffectation d'hôtes membres d'une batterie de serveurs existanteDecommissioning member hosts from an existing server farm

Vous devez au minimum appartenir au groupe Admins du domaine ou avoir la capacité de supprimer des membres de l'objet de groupe de sécurité pour réaliser ces procédures.Membership in Domain Admins, or ability to remove members from the security group object, is the minimum required to complete these procedures.

Étape 1 : Supprimer l'hôte membre du compte gMSAStep 1: Remove member host from gMSA

Si vous utilisez des groupes de sécurité pour la gestion des hôtes membres, supprimez le compte d’ordinateur de l’hôte membre retiré du groupe de sécurité auquel les hôtes membres de gMSA sont membres à l’aide de l’une des méthodes suivantes.If using security groups for managing member hosts, remove the computer account for the decommissioned member host from the security group that the gMSA's member hosts are a member of using either of the following methods.

Si la liste des comptes d'ordinateur est affichée, récupérez les comptes existants, puis ajoutez tous les comptes sauf le compte d'ordinateur supprimé.If listing computer accounts, retrieve the existing accounts and then add all but the removed computer account.

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de gérer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes.Membership in Domain Admins, Account Operators, or ability to manage msDS-GroupManagedServiceAccount objects, is the minimum required to complete this procedure. Pour plus d'informations sur l'utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.For detailed information about using the appropriate accounts and group memberships, see Local and Domain Default Groups.

Pour supprimer des hôtes membres à l'aide de l'applet de commande Set-ADServiceAccountTo remove member hosts using the Set-ADServiceAccount cmdlet
  1. Sur le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.On the Windows Server 2012 domain controller, run Windows PowerShell from the Taskbar.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    ADServiceAccount [-Identity] < chaîne > -Propriétés PrincipalsAllowedToRetrieveManagedPasswordGet-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    Set-ADServiceAccount [-Identity] < chaîne > -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal [] >Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

ParamètreParameter StringString ExempleExample
NomName Nom du compteName the account BatterieIT1ITFarm1
PrincipalsAllowedToRetrieveManagedPasswordPrincipalsAllowedToRetrieveManagedPassword Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membresThe computer accounts of the member hosts or the security group that the member hosts are a member of Hôte1, Hôte3Host1, Host3

ExempleExample

Par exemple, pour supprimer des hôtes membres, tapez les commandes suivantes et appuyez sur Entrée.For example, to remove member hosts type the following commands, and then press ENTER.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

Étape 2 : Suppression d'un compte de service administré de groupe du systèmeStep 2: Removing a group Managed Service Account from the system

Supprimez les informations d'identification de compte gMSA mises en cache de l'hôte membre à l'aide de Uninstall-ADServiceAccount ou de l'API NetRemoveServiceAccount sur le système hôte.Remove the cached gMSA credentials from the member host using Uninstall-ADServiceAccount or the NetRemoveServiceAccount API on the host system.

Vous devez au minimum appartenir au groupe Administrateurs ou à un groupe équivalent pour réaliser ces procédures.Membership in Administrators, or equivalent, is the minimum required to complete these procedures.

Pour supprimer un compte gMSA à l'aide de l'applet de commande Uninstall-ADServiceAccountTo remove a gMSA using the Uninstall-ADServiceAccount cmdlet
  1. Sur le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.On the Windows Server 2012 domain controller, run Windows PowerShell from the Taskbar.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    Uninstall-ADServiceAccount < ADServiceAccount>Uninstall-ADServiceAccount <ADServiceAccount>

    ExempleExample

    Par exemple, pour supprimer les informations d'identification mises en cache pour un gMSA nommé BatterieIT1, tapez la commande suivante et appuyez sur Entrée :For example, to remove the cached credentials for a gMSA named ITFarm1 type the following command, and then press ENTER:

    Uninstall-ADServiceAccount ITFarm1
    

Pour plus d’informations sur l’applet de commande Uninstall-ADServiceAccount, à l’invite de commandes du module Active Directory pour Windows PowerShell, tapez Get-Help Uninstall-ADServiceAccount et appuyez sur ENTRÉE ou consultez Uninstall-ADServiceAccountdans la Bibliothèque TechNet.For more information about the Uninstall-ADServiceAccount cmdlet, at the Active Directory module for Windows PowerShell command prompt, type Get-Help Uninstall-ADServiceAccount, and then press ENTER, or see the information on the TechNet web at Uninstall-ADServiceAccount.

Voir aussiSee also