Getting Started with Group Managed Service AccountsGetting Started with Group Managed Service Accounts

適用先:Windows Server (半期チャネル)、Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

このガイドでは、Windows Server 2012 でグループの管理されたサービスアカウントを有効にして使用するための詳細な手順と背景情報について説明します。This guide provides step-by-step instructions and background information for enabling and using group Managed Service Accounts in Windows Server 2012 .

このドキュメントの内容In this document

注意

このトピックでは、説明した手順の一部を自動化するのに使用できる Windows PowerShell コマンドレットのサンプルを示します。This topic includes sample Windows PowerShell cmdlets that you can use to automate some of the procedures described. 詳細については、「コマンドレットの使用」を参照してください。For more information, see Using Cmdlets.

前提条件Prerequisites

グループの管理されたサービス アカウントの要件については、このトピックのセクションを参照してください。See the section in this topic on Requirements for group Managed Service Accounts.

はじめにIntroduction

ネットワーク負荷分散 (NLB) (またはすべてのサーバーがクライアントに対して同じサービスを提供している) などの方式を使用しているサーバー ファームにホストされたサービスにクライアント コンピューターが接続するときに、サービスのすべてのインスタンスが同じプリンシパルを使用していない場合は、相互認証 (Kerberos など) をサポートする認証プロトコルを使用することはできません。When a client computer connects to a service which is hosted on a server farm using network load balancing (NLB) or some other method where all the servers appear to be the same service to the client, then authentication protocols supporting mutual authentication such as Kerberos cannot be used unless all the instances of the services use the same principal. つまり、各サービスは同じパスワード/キーを使用して ID を証明する必要があります。This means that each service has to use the same passwords/keys to prove their identity.

注意

フェールオーバー クラスターでは、gMSA をサポートしていません。Failover clusters do not support gMSAs. ただし、クラスター サービスの上位で実行されるサービスは、それが Windows サービス、アプリケーション プール、またはスケジュールされたタスクである場合、あるいは gMSA/sMSA をネイティブにサポートしている場合、gMSA または sMSA を使用できます。However, services that run on top of the Cluster service can use a gMSA or a sMSA if they are a Windows service, an App pool, a scheduled task, or natively support gMSA or sMSA.

サービスは次のプリンシパルを選択肢として備えており、各プリンシパルには特定の制限があります。Services have the following principals from which to choose, and each has certain limitations.

プリンシパルPrincipals ScopeScope サポートされるサービスServices supported パスワード管理Password management
Windows システムのコンピューター アカウントComputer Account of Windows system ドメインDomain ドメインに参加している 1 つのサーバーに限定Limited to one domain joined server コンピューターによる管理Computer manages
Windows システムなしのコンピューター アカウントComputer Account without Windows system ドメインDomain ドメインに参加している任意のサーバーAny domain joined server なしNone
仮想アカウントVirtual Account ローカルLocal 1 つのサーバーに限定Limited to one server コンピューターによる管理Computer manages
Windows 7 スタンドアロンの管理されたサービス アカウントWindows 7 standalone Managed Service Account ドメインDomain ドメインに参加している 1 つのサーバーに限定Limited to one domain joined server コンピューターによる管理Computer manages
ユーザー アカウントUser Account ドメインDomain ドメインに参加している任意のサーバーAny domain joined server なしNone
グループの管理されたサービス アカウントGroup Managed Service Account ドメインDomain 任意の Windows Server 2012 ドメインに参加しているサーバーAny Windows Server 2012 domain-joined server ドメイン コントローラーによる管理、ホストによる取得The domain controller manages, and the host retrieves

Windows コンピューター アカウント、Windows 7 スタンドアロンの管理されたサービス アカウント (sMSA)、または仮想アカウントを複数のシステムで共有することはできません。A Windows computer account, or a Windows 7 standalone Managed Service Account (sMSA), or virtual accounts cannot be shared across multiple systems. 1 つのアカウントをサーバー ファームのサービスで共有するように構成する場合は、Windows システムとは別にユーザー アカウントまたはコンピューター アカウントを選択する必要があります。If you configure one account for services on server farms to share, you would have to choose a user account or a computer account apart from a Windows system. いずれにしても、これらのアカウントには、シングルポイントコントロールでパスワードを管理する機能はありません。Either way, these accounts do not have the capability of single-point-of-control password management. このため問題が生じます。各組織は Active Directory のサービスのキーを更新してそのキーを該当するすべてのサービスのインスタンスに配布するために、コストの高いソリューションを作成する必要があります。This creates problem where each organization needs to create an expensive solution to update keys for the service in Active Directory and then distribute the keys to all instances of those services.

Windows Server 2012 では、サービスまたはサービス管理者は、グループの管理されたサービスアカウント (gMSA) を使用するときに、サービスインスタンス間のパスワード同期を管理する必要はありません。With Windows Server 2012 , services or service administrators do not need to manage password synchronization between service instances when using group Managed Service Accounts (gMSA). AD で gMSA をプロビジョニングし、管理されたサービス アカウントをサポートするサービスを構成します。You provision the gMSA in AD and then configure the service which supports Managed Service Accounts. Active Directory モジュールに含まれる *-ADServiceAccount コマンドレットを使用して gMSA をプロビジョニングできます。You can provision a gMSA using the *-ADServiceAccount cmdlets which are part of the Active Directory module. ホストでのサービス ID の構成は、次のものによってサポートされます。Service identity configuration on the host is supported by:

  • sMSA と同じ API。したがって sMSA をサポートする製品は gMSA をサポートします。Same APIs as sMSA, so products which support sMSA will support gMSA

  • サービス コントロール マネージャーを使用してログオン ID を構成するサービス。Services which use Service Control Manager to configure logon identity

  • アプリケーション プールに対応する IIS マネージャーを使用して ID を構成するサービス。Services which use the IIS manager for application pools to configure identity

  • タスク スケジューラを使用するタスク。Tasks using Task Scheduler.

グループの管理されたサービス アカウントの要件Requirements for group Managed Service Accounts

次の表に、Kerberos 認証が gMSA を使用してサービスを操作するための、オペレーティング システムの要件を一覧します。The following table lists the operating system requirements for Kerberos authentication to work with services using gMSA. 表の後に Active Directory の要件を一覧します。The Active Directory requirements are listed after the table.

グループの管理されたサービス アカウントを管理するために使用する Windows PowerShell コマンドレットを実行するには 64 ビット アーキテクチャが必要です。A 64-bit architecture is required to run the Windows PowerShell commands used to administer group Managed Service Accounts.

オペレーティング システムの要件Operating system requirements

要素Element 要件Requirement オペレーティング システムOperating system
クライアント アプリケーション ホストClient Application host RFC 準拠の Kerberos クライアントRFC compliant Kerberos client Windows XP 以降At least Windows XP
ユーザーアカウントのドメイン DcUser account's domain DCs RFC 準拠の KDCRFC compliant KDC Windows Server 2003 以降At least Windows Server 2003
共有されたサービス メンバー ホストShared service member hosts Windows Server 2012Windows Server 2012
メンバーホストのドメイン DcMember host's domain DCs RFC 準拠の KDCRFC compliant KDC Windows Server 2003 以降At least Windows Server 2003
gMSA アカウントのドメイン DcgMSA account's domain DCs パスワードを取得するためにホストで使用できる Windows Server 2012 DcWindows Server 2012 DCs available for host to retrieve the password Windows server 2012 より前の一部のシステムを持つことができる Windows Server 2012 を使用するドメインDomain with Windows Server 2012 which can have some systems earlier than Windows Server 2012
バックエンド サービス ホストBackend service host RFC 準拠の Kerberos アプリケーション サーバーRFC compliant Kerberos application server Windows Server 2003 以降At least Windows Server 2003
バックエンドサービスアカウントのドメイン DcBackend service account's domain DCs RFC 準拠の KDCRFC compliant KDC Windows Server 2003 以降At least Windows Server 2003
Active Directory の Windows PowerShellWindows PowerShell for Active Directory 64 ビット アーキテクチャをサポートするコンピューターまたはリモート管理コンピューターにローカルにインストールされた Windows PowerShell for Active Directory (たとえば、リモート サーバー管理ツールキットを使用)Windows PowerShell for Active Directory installed locally on a computer supporting a 64-bit architecture or on your remote management computer (for example, using the Remote Server Administration Toolkit) Windows Server 2012Windows Server 2012

Active Directory ドメイン サービスの要件Active Directory Domain Service requirements

  • GMSA を作成するには、gMSA ドメインのフォレスト内の Active Directory スキーマを Windows Server 2012 に更新する必要があります。The Active Directory schema in the gMSA domain's forest needs to be updated to Windows Server 2012 to create a gMSA.

    スキーマを更新するには、Windows Server 2012 を実行するドメインコントローラーをインストールするか、Windows Server 2012 を実行しているコンピューターから adprep.exe のバージョンを実行します。You can update the schema by installing a domain controller that runs Windows Server 2012 or by running the version of adprep.exe from a computer running Windows Server 2012 . オブジェクト CN=Schema、CN=Configuration、DC=Contoso、DC=Com の object-version 属性値は 52 でなければなりません。The object-version attribute value for the object CN=Schema,CN=Configuration,DC=Contoso,DC=Com must be 52.

  • プロビジョニングされた新しい gMSA アカウントNew gMSA account provisioned

  • グループ別に gMSA を使用するサービス ホストのアクセス許可を管理している場合は、新規または既存のセキュリティ グループ。If you are managing the service host permission to use gMSA by group, then new or existing security group

  • グループ別にサービス アクセス コントロールを管理する場合は、新規または既存のセキュリティ グループ。If managing service access control by group, then new or existing security group

  • Active Directory の最初のマスター ルート キーがドメインに展開されていない場合または作成されていない場合は、それを作成します。If the first master root key for Active Directory is not deployed in the domain or has not been created, then create it. 作成した結果は、KdsSvc 操作ログ (Event ID 4004) で検証できます。The result of its creation can be verified in the KdsSvc Operational log, Event ID 4004.

キーを作成する方法については、「 create The Key Distribution SERVICES KDS Root key」を参照してください。For instructions how to create the key, see Create the Key Distribution Services KDS Root Key. Microsoft キー配布サービス (kdssvc.dll)、AD のルート キー。Microsoft Key Distribution Service (kdssvc.dll) the root key for AD.

ライフサイクルLifecycle

gMSA 機能を使用するサーバー ファームのライフサイクルは、通常、次のタスクを必要とします。The lifecycle of a server farm using the gMSA feature typically involves the following tasks:

  • 新しいサーバー ファームの展開Deploying a new server farm

  • 既存のサーバー ファームへのメンバー ホストの追加Adding member hosts to an existing server farm

  • 既存のサーバー ファームからのメンバー ホストの使用停止Decommissioning member hosts from an existing server farm

  • 既存のサーバー ファームの使用停止Decommissioning an existing server farm

  • 必要に応じて、セキュリティ侵害を受けているメンバー ホストをサーバー ファームから削除Removing a compromised member host from a server farm if required.

新しいサーバー ファームの展開Deploying a new server farm

新しいサーバー ファームを展開するとき、サービス管理者は次のことを決める必要があります。When deploying a new server farm, the service administrator will need to determine:

  • サービスが gMSA の使用をサポートするかどうかIf the service supports using gMSAs

  • サービスが認証済みの受信接続または送信接続を必要とするかどうかIf the service requires inbound or outbound authenticated connections

  • gMSA を使用するサービス用のメンバー ホストのコンピューター アカウント名The computer account names for the member hosts for the service using the gMSA

  • サービスの NetBIOS 名The NetBIOS name for the service

  • サービスの DNS ホスト名The DNS host name for the service

  • サービスのサービス プリンシパル名 (SPN)The Service Principal Names (SPNs) for the service

  • パスワード変更間隔 (既定では 30 日)。The password change interval (default is 30 days).

手順 1:グループの管理されたサービス アカウントのプロビジョニングStep 1: Provisioning group Managed Service Accounts

GMSA を作成できるのは、フォレストのスキーマが Windows Server 2012 に更新されていて、Active Directory のマスタールートキーが展開されており、gMSA が作成されるドメインに少なくとも1つの Windows Server 2012 DC がある場合のみです。You can create a gMSA only if the forest schema has been updated to Windows Server 2012 , the master root key for Active Directory has been deployed, and there is at least one Windows Server 2012 DC in the domain in which the gMSA will be created.

次の手順を実行するには、 Domain Admins のメンバーシップ、または、次の手順を完了するために必要な最小限の権限が必要です。Membership in Domain Admins or the ability to create msDS-GroupManagedServiceAccount objects, is the minimum required to complete the following procedures.

注意

-Name パラメーターの値は常に必須です (-Name を指定するかどうかにかかわらず)。-DNSHostName、-RestrictToSingleComputer、および-RestrictToOutboundAuthentication は、3つの展開シナリオでセカンダリ要件となります。A value for the -Name parameter is always required (whether you specify -Name or not), with -DNSHostName, -RestrictToSingleComputer, and -RestrictToOutboundAuthentication being secondary requirements for the three deployment scenarios.

New-ADServiceAccount コマンドレットを使用して gMSA を作成するにはTo create a gMSA using the New-ADServiceAccount cmdlet

  1. Windows Server 2012 ドメインコントローラーで、タスクバーから Windows PowerShell を実行します。On the Windows Server 2012 domain controller, run Windows PowerShell from the Taskbar.

  2. Windows PowerShell のコマンド プロンプトで、次のコマンドを入力し、ENTER キーを押しますAt the command prompt for the Windows PowerShell, type the following commands, and then press ENTER. (Active Directory モジュールが自動的にロードされます)。(The Active Directory module will load automatically.)

    New-ADServiceAccount [-Name] < string > -DNSHostName < string > [-KerberosEncryptionType < ADKerberosEncryptionType > ] [-Managedpasswordintervalindays <Nullable [Int32] >] [-PrincipalsAllowedToRetrieveManagedPassword <adprincipal [] >] [-SamAccountName < string > ] [-serviceprincipalnames <string [] >]New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]

    パラメーターParameter StringString Example
    名前Name アカウントの名前Name of the account ITFarm1ITFarm1
    DNSHostNameDNSHostName サービスの DNS ホスト名DNS host name of service ITFarm1.contoso.comITFarm1.contoso.com
    KerberosEncryptionTypeKerberosEncryptionType ホスト サーバーによってサポートされる暗号化の種類Any encryption types supported by the host servers None、RC4、AES128、AES256None, RC4, AES128, AES256
    ManagedPasswordIntervalInDaysManagedPasswordIntervalInDays 日単位のパスワード変更間隔 (指定がなければ既定では 30 日)Password change interval in days (default is 30 days if not provided) 9090
    PrincipalsAllowedToRetrieveManagedPasswordPrincipalsAllowedToRetrieveManagedPassword メンバー ホストのコンピューター アカウントまたはメンバー ホストが属するセキュリティ グループThe computer accounts of the member hosts or the security group that the member hosts are a member of ITFarmHostsITFarmHosts
    SamAccountNameSamAccountName Name と同じでない場合はサービスの NetBIOS 名NetBIOS name for the service if not same as Name ITFarm1ITFarm1
    ServicePrincipalNamesServicePrincipalNames サービスのサービス プリンシパル名 (SPN)Service Principal Names (SPNs) for the service http/ITFarm1/contoso .com、http/ITFarm1/contoso、http/ITFarm1/、http/ITFarm1/contoso、MSSQLSvc/ITFarm1、MSSQLSvc、ITFarm1、INST01、の順に実行して、のようにしてください。http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

    重要

    パスワード変更間隔は作成時にしか設定できません。The password change interval can only be set during creation. パスワード変更間隔を変更する必要がある場合は、新しい gMSA を作成し、作成時にその間隔を設定してください。If you need to change the interval, you must create a new gMSA and set it at creation time.

    Example

    コマンドレットを単一行に入力します。ただし、書式上の制約から複数行に改行されて表示される場合があります。Enter the command on a single line, even though they might appear word-wrapped across several lines here because of formatting constraints.

    New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
    

この手順を完了するには、[ Domain Admins ] または [ Account Operators ] のメンバーシップ、あるいは msDS-GroupManagedServiceAccount オブジェクトを作成する機能が最低限必要です。Membership in Domain Admins , Account Operators , or ability to create msDS-GroupManagedServiceAccount objects, is the minimum required to complete this procedure. 適切なアカウントおよびグループ メンバーシップの使用方法の詳細については、「ローカルおよびドメインの既定のグループ」を参照してください。For detailed information about using the appropriate accounts and group memberships, see Local and Domain Default Groups.

New-ADServiceAccount コマンドレットを使用して、送信の認証のみに gMSA を作成するにはTo create a gMSA for outbound authentication only using the New-ADServiceAccount cmdlet
  1. Windows Server 2012 ドメインコントローラーで、タスクバーから Windows PowerShell を実行します。On the Windows Server 2012 domain controller, run Windows PowerShell from the Taskbar.

  2. Windows PowerShell Active Directory モジュールのコマンド プロンプトで、次のコマンドを入力し、ENTER キーを押します。At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    New-ADServiceAccount [-Name] < > RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable [Int32] >] [-PrincipalsAllowedToRetrieveManagedPassword <adprincipal [] >]New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]

    パラメーターParameter StringString Example
    名前Name アカウントの名前Name the account ITFarm1ITFarm1
    ManagedPasswordIntervalInDaysManagedPasswordIntervalInDays 日単位のパスワード変更間隔 (指定がなければ既定では 30 日)Password change interval in days (default is 30 days if not provided) 7575
    PrincipalsAllowedToRetrieveManagedPasswordPrincipalsAllowedToRetrieveManagedPassword メンバー ホストのコンピューター アカウントまたはメンバー ホストが属するセキュリティ グループThe computer accounts of the member hosts or the security group that the member hosts are a member of ITFarmHostsITFarmHosts

    重要

    パスワード変更間隔は作成時にしか設定できません。The password change interval can only be set during creation. パスワード変更間隔を変更する必要がある場合は、新しい gMSA を作成し、作成時にその間隔を設定してください。If you need to change the interval, you must create a new gMSA and set it at creation time.

Example

New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$

手順 2:サービス ID アプリケーション サービスの構成Step 2: Configuring service identity application service

Windows Server 2012 でサービスを構成するには、次の機能に関するドキュメントを参照してください。To configure the services in Windows Server 2012 , see the following feature documentation:

gMSA をサポートするサービスが他に存在する場合があります。Other services could support gMSA. それらのサービスを構成する方法の詳細については、適切な製品ドキュメントを参照してください。See the appropriate product documentation for details on how to configure those services.

既存のサーバー ファームへのメンバー ホストの追加Adding member hosts to an existing server farm

メンバーホストの管理にセキュリティグループを使用する場合は、次のいずれかの方法を使用して、新しいメンバーホストのコンピューターアカウントをセキュリティグループ (gMSA のメンバーホストがメンバーである) に追加します。If using security groups for managing member hosts, add the computer account for the new member host to the security group (that the gMSA's member hosts are a member of) using one of the following methods.

これらの手順を完了するには、[ Domain Admins ] のメンバーシップか、またはセキュリティ グループ オブジェクトにメンバーを追加する機能が最低限必要です。Membership in Domain Admins , or the ability to add members to the security group object, is the minimum required to complete these procedures.

コンピューター アカウントを使用する場合は、既存のアカウントを検索し、新しいコンピューター アカウントを追加します。If using computer accounts, find the existing accounts and then add the new computer account.

この手順を完了するには、[ Domain Admins ] または [ Account Operators ] のメンバーシップ、あるいは msDS-GroupManagedServiceAccount オブジェクトを管理する権利が最低限必要です。Membership in Domain Admins , Account Operators , or ability to manage msDS-GroupManagedServiceAccount objects, is the minimum required to complete this procedure. 適切なアカウントおよびグループ メンバーシップの使用方法の詳細については、「ローカルおよびドメインの既定のグループ」を参照してください。For detailed information about using the appropriate accounts and group memberships, see Local and Domain Default Groups.

Set-ADServiceAccount コマンドレットを使用してメンバー ホストを追加するにはTo add member hosts using the Set-ADServiceAccount cmdlet

  1. Windows Server 2012 ドメインコントローラーで、タスクバーから Windows PowerShell を実行します。On the Windows Server 2012 domain controller, run Windows PowerShell from the Taskbar.

  2. Windows PowerShell Active Directory モジュールのコマンド プロンプトで、次のコマンドを入力し、ENTER キーを押します。At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    PrincipalsAllowedToRetrieveManagedPassword の取得-ADServiceAccount [-Identity] < 文字列 > のプロパティGet-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Windows PowerShell Active Directory モジュールのコマンド プロンプトで、次のコマンドを入力し、ENTER キーを押します。At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    Set-ADServiceAccount [-Identity] < string > -PrincipalsAllowedToRetrieveManagedPassword <adprincipal [] >Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

パラメーターParameter StringString Example
名前Name アカウントの名前Name the account ITFarm1ITFarm1
PrincipalsAllowedToRetrieveManagedPasswordPrincipalsAllowedToRetrieveManagedPassword メンバー ホストのコンピューター アカウントまたはメンバー ホストが属するセキュリティ グループThe computer accounts of the member hosts or the security group that the member hosts are a member of Host1、Host2、Host3Host1, Host2, Host3

Example

たとえば、メンバー ホストを追加するには、次のコマンドを入力し、ENTER キーを押します。For example, to add member hosts type the following commands, and then press ENTER.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

グループの管理されたサービスアカウントのプロパティを更新していますUpdating the group Managed Service Account properties

これらの手順を完了するには、[ Domain Admins ] または [ Account Operators ] のメンバーシップ、あるいは msDS-GroupManagedServiceAccount オブジェクトを書き込む権利が最低限必要です。Membership in Domain Admins , Account Operators , or the ability to write to msDS-GroupManagedServiceAccount objects, is the minimum required to complete these procedures.

Windows PowerShell 用の Active Directory モジュールを開き、Set-ADServiceAccount コマンドレットを使用してプロパティを設定します。Open the Active Directory Module for Windows PowerShell, and set any property by using the Set-ADServiceAccount cmdlet.

これらのプロパティの設定方法の詳細については、TechNet ライブラリの「 Set-ADServiceAccount 」を参照してください。または、Windows PowerShell の Active Directory モジュールのコマンド プロンプトに「 Get-Help Set-ADServiceAccount 」と入力し、ENTER キーを押してください。For detailed information how to set these properties, see Set-ADServiceAccount in the TechNet Library or by typing Get-Help Set-ADServiceAccount at the Active Directory module for Windows PowerShell command prompt and pressing ENTER.

既存のサーバー ファームからのメンバー ホストの使用停止Decommissioning member hosts from an existing server farm

これらの手順を完了するには、[ Domain Admins ] のメンバーシップか、またはセキュリティ グループ オブジェクトからメンバーを削除する権利が最低限必要です。Membership in Domain Admins , or ability to remove members from the security group object, is the minimum required to complete these procedures.

手順 1:gMSA からメンバー ホストを削除するStep 1: Remove member host from gMSA

メンバーホストの管理にセキュリティグループを使用する場合は、次のいずれかの方法を使用して、gMSA のメンバーホストがメンバーとなっているセキュリティグループから使用停止されたメンバーホストのコンピューターアカウントを削除します。If using security groups for managing member hosts, remove the computer account for the decommissioned member host from the security group that the gMSA's member hosts are a member of using either of the following methods.

コンピューター アカウントを一覧する場合は、既存のコンピューター アカウントを検索し、削除されたものを除くすべてのコンピューター アカウントを追加します。If listing computer accounts, retrieve the existing accounts and then add all but the removed computer account.

この手順を完了するには、[ Domain Admins ] または [ Account Operators ] のメンバーシップ、あるいは msDS-GroupManagedServiceAccount オブジェクトを管理する権利が最低限必要です。Membership in Domain Admins , Account Operators , or ability to manage msDS-GroupManagedServiceAccount objects, is the minimum required to complete this procedure. 適切なアカウントおよびグループ メンバーシップの使用方法の詳細については、「ローカルおよびドメインの既定のグループ」を参照してください。For detailed information about using the appropriate accounts and group memberships, see Local and Domain Default Groups.

Set-ADServiceAccount コマンドレットを使用してメンバー ホストを削除するにはTo remove member hosts using the Set-ADServiceAccount cmdlet
  1. Windows Server 2012 ドメインコントローラーで、タスクバーから Windows PowerShell を実行します。On the Windows Server 2012 domain controller, run Windows PowerShell from the Taskbar.

  2. Windows PowerShell Active Directory モジュールのコマンド プロンプトで、次のコマンドを入力し、ENTER キーを押します。At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    PrincipalsAllowedToRetrieveManagedPassword の取得-ADServiceAccount [-Identity] < 文字列 > のプロパティGet-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Windows PowerShell Active Directory モジュールのコマンド プロンプトで、次のコマンドを入力し、ENTER キーを押します。At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    Set-ADServiceAccount [-Identity] < string > -PrincipalsAllowedToRetrieveManagedPassword <adprincipal [] >Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

パラメーターParameter StringString Example
名前Name アカウントの名前Name the account ITFarm1ITFarm1
PrincipalsAllowedToRetrieveManagedPasswordPrincipalsAllowedToRetrieveManagedPassword メンバー ホストのコンピューター アカウントまたはメンバー ホストが属するセキュリティ グループThe computer accounts of the member hosts or the security group that the member hosts are a member of Host1、Host3Host1, Host3

Example

たとえば、メンバー ホストを削除するには、次のコマンドを入力し、ENTER キーを押します。For example, to remove member hosts type the following commands, and then press ENTER.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

手順 2:グループの管理されたサービス アカウントをシステムから削除するStep 2: Removing a group Managed Service Account from the system

ホスト システム上で Uninstall-ADServiceAccount または NetRemoveServiceAccount API を使用して、キャッシュされた gMSA 資格情報をメンバー ホストから削除します。Remove the cached gMSA credentials from the member host using Uninstall-ADServiceAccount or the NetRemoveServiceAccount API on the host system.

これらの手順を完了するには、[ Administrators ] のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。Membership in Administrators , or equivalent, is the minimum required to complete these procedures.

Uninstall-ADServiceAccount コマンドレットを使用して gMSA を削除するにはTo remove a gMSA using the Uninstall-ADServiceAccount cmdlet
  1. Windows Server 2012 ドメインコントローラーで、タスクバーから Windows PowerShell を実行します。On the Windows Server 2012 domain controller, run Windows PowerShell from the Taskbar.

  2. Windows PowerShell Active Directory モジュールのコマンド プロンプトで、次のコマンドを入力し、ENTER キーを押します。At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    アンインストール-ADServiceAccount < adserviceaccount>Uninstall-ADServiceAccount <ADServiceAccount>

    Example

    たとえば、ITFarm1 という名前の gMSA のキャッシュされた資格情報を削除するには、次のコマンドを入力し、ENTER キーを押します。For example, to remove the cached credentials for a gMSA named ITFarm1 type the following command, and then press ENTER:

    Uninstall-ADServiceAccount ITFarm1
    

Uninstall-ADServiceAccount コマンドレットの詳細については、Windows PowerShell の Active Directory モジュールのコマンド プロンプトで、「 Get-Help Uninstall-ADServiceAccount 」と入力し、ENTER キーを押すか、または TechNet Web の「 Uninstall-ADServiceAccount」に掲載された情報を参照してください。For more information about the Uninstall-ADServiceAccount cmdlet, at the Active Directory module for Windows PowerShell command prompt, type Get-Help Uninstall-ADServiceAccount , and then press ENTER, or see the information on the TechNet web at Uninstall-ADServiceAccount.

関連項目See also