Lokale Active Directory-Dienstkonten
Ein lokales Active Directory-Dienstkonto ist ein Container zum Speichern des Benutzernamens und Kennworts eines privilegierten Domänenbenutzerkontos. Das Benutzerkonto muss über ausreichende Berechtigungen verfügen, um Computerkonten in einem Active Directory zu verwalten. Machine Creation Service kann dieses Dienstkonto verwenden, um Vorgänge im Zusammenhang mit Computerkonten auszuführen, ohne jedes Mal die Domänenanmeldeinformationen eingeben zu müssen.
Lokales Active Directory-Dienstkonto erstellen
Erstellen Sie ein lokales Active Directory-Dienstkonto mit Studio oder PowerShell.
Voraussetzung
Um ein lokales Active Directory-Dienstkonto zu erstellen, stellen Sie sicher, dass Sie die folgende Aufgabe abgeschlossen haben:
- Erstellen Sie ein Domänenbenutzerkonto in Ihrem Active Directory mit ausreichenden Berechtigungen zum Erstellen, Aktualisieren und Löschen von Computerobjekten in Ihrem Active Directory oder bestimmten OUs.
Web Studio verwenden
- Klicken Sie in der Kachel DaaS auf Verwalten.
- Wählen Sie im linken Bereich Administratoren aus.
- Klicken Sie auf der Registerkarte Dienstkonten auf Dienstkonto erstellen.
- Wählen Sie auf der Seite Identitätstyp die Option Lokales Active Directory aus. Klicken Sie auf Weiter.
- Klicken Sie auf der Seite Anmeldeinformationen auf Anmeldeinformationen eingeben, um den Benutzernamen und das Kennwort eines privilegierten Domänenbenutzerkontos anzugeben, das Sie als Dienstkonto verwenden möchten.
- Legen Sie das Ablaufdatum des Kennworts fest oder lassen Sie es auf „nie abgelaufen“.
- Wählen Sie einen oder mehrere Geltungsbereiche für dieses Dienstkonto aus.
- Geben Sie einen Anzeigenamen und eine Beschreibung (optional) für das Dienstkonto ein.
- Klicken Sie auf Fertig stellen, um die Erstellung abzuschließen.
PowerShell verwenden
Sie können PowerShell-Befehle verwenden, um einen lokalen Active Directory-Dienst zu erstellen. Zum Beispiel:
$credential = ConvertTo-SecureString -String $password -AsPlainText -Force
New-AcctServiceAccount -IdentityProviderType ActiveDirectory -IdentityProviderIdentifier test.local -AccountId test\svcacct_mcs -AccountSecret $credential -SecretExpiryTime 2030/08/15 -DisplayName 'scvacct_mcs' -Description 'Service account for test.local'
<!--NeedCopy-->
Hinweis:
Das
$passwordist das passende Kennwort für das angegebene Domänenbenutzerkonto.
Aktionen im Zusammenhang mit der Maschinenidentität ausführen
Nachdem ein Identitätspool, der auf Active Directory oder Hybrid Azure AD basiert, einem Dienstkonto zugeordnet wurde, können Sie verschiedene Aktionen im Zusammenhang mit der Maschinenidentität ausführen, ohne die Domänenanmeldeinformationen eingeben zu müssen.
-
Zum Erstellen eines neuen Identitätskontos mithilfe eines Dienstkontos
New-AcctADAccount -IdentityPoolName MyPool -Count 2 -UseServiceAccount <!--NeedCopy--> -
Zum Reparieren der Identitätskonten mithilfe eines Dienstkontos
Repair-AcctADAccount -ADAccountName "Domain\account","Domain\account2" -UseServiceAccount <!--NeedCopy--> -
Zum Entfernen von Identitätskonten mithilfe eines Dienstkontos
Remove-AcctADAccount -IdentityPoolName MyPool -RemovalOption Delete -ADAccountName "Domain\account","domain\account2" -UserServiceAccount <!--NeedCopy-->
Nächste Schritte
- Um in die lokale Active Directory eingebundene Kataloge zu erstellen, siehe Identitätspool der in die lokale Active Directory eingebundenen Maschinenidentität).
- Zum Verwalten von Dienstkonten, siehe Dienstkonten verwalten.