SQL Server Group Managed Service Account As Service Identity (gMSA)
2023-04-09
筆記如何在 Windows Server 加入 gMSA 並提供給 SQL Server 的 SQL Server Service 以及 SQL Server Agent Service 所使用。
說明
gMSA 帳戶的最大特色就是不需要登入密碼,因此沒有密碼逾期的問題,僅作為服務的識別身分在網域之間使用,而不用擔心該帳戶被用於登入伺服器桌面的問題。
AD Server
在 AD Server 端,首先需要加入 KdsRootKey,接著使用 New-ADServiceAccount 加入要建立的帳戶名稱。
最後使用 Set-ADServiceAccount 聯結帳戶名稱以及可以使用的伺服器名稱。
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
New-ADServiceAccount SQLService -Enabled $true
Set-ADServiceAccount SQLService -PrincipalsAllowedToRetrieveManagedPassword SQL1$, SQL2$Client Server
在 Client 端,必須藉由 PowerShell 的 ActiveDirectory Module,使用 Install-ADServiceAccount 的方式來加入已經被 AD Server 允許使用的 gMSA。
Add-WindowsFeature RSAT-AD-PowerShell
Import-Module ActiveDirectory
Install-ADServiceAccount -Identity SQLService使用者權限指派
一旦變更了執行 Service 的身分後,「鎖定記憶體中的分頁」與「執行磁碟區維護工作權限」也必須配合進行調整。
Win + R 輸入 secpol.msc
SQL Server Installation Detailed 安裝流程與規劃詳細說明