microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-key-distribution-services-kds-root-key
Различия
Показаны различия между двумя версиями страницы.
Следующая версия | Предыдущая версия | ||
microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-key-distribution-services-kds-root-key [30.10.2018 17:18] – создано Алексей Максимов | microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-key-distribution-services-kds-root-key [31.10.2018 15:39] (текущий) – Алексей Максимов | ||
---|---|---|---|
Строка 1: | Строка 1: | ||
===== Создание Key Distribution Services (KDS) Root Key ===== | ===== Создание Key Distribution Services (KDS) Root Key ===== | ||
- | {{: | + | {{: |
+ | |||
+ | \\ | ||
+ | ==== Необходимый уровень привилегий ==== | ||
+ | |||
+ | Создание Root Key требует полномочия уровня **Domain Administrator** (в корневом домене верхнего уровня) или **Enterprise Administrator**. Если требуется создание ключа для администратора в дочернем домене, | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | \\ | ||
+ | ==== Создание KDS Root Key ==== | ||
+ | |||
+ | Создадим Root Key, разрешив его использование через час после создания, | ||
+ | |||
+ | Для начала проверим в AD информацию о всех имеющихся ключах с помощью командлета **Get-KdsRootKey**. | ||
+ | |||
+ | Если ключа нет, создадим его с помощью командлета **Add-KdsRootKey**. | ||
+ | |||
+ | Специфика работы ключа KDS Root Key заключается в том, что, [[https:// | ||
+ | |||
+ | <code powershell> | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | \\ | ||
+ | ==== Проверка KDS Root Key ==== | ||
+ | |||
+ | Если ключ уже был создан ранее в домене, | ||
+ | |||
+ | <code powershell> | ||
+ | |||
+ | В случае, | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | В оснастке **Active Directory Sites and Services** включим режим отображения узла служб: " | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | В служебном контейнере **Services** > **Group Key Distribution | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | В значениях атрибутов **msKds-CreateTime** и **msKds-UseStartTime** увидим время создания объекта и время начала возможности его использования. Атрибут **msKds-DomainID** содержит имя сервера, | ||
+ | |||
+ | <code powershell> | ||
+ | [DateTime]:: | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | В данном примере, | ||
+ | |||
+ | \\ | ||
+ | ==== Несколько KDS Root Key ==== | ||
+ | |||
+ | Процедура создания Root Key делается один раз для леса Active Directory. Если командлет **Add-KdsRootKey** выполнялся несколько раз, то может получиться так, что будет создано несколько ключей. Прямого запрета использования такой конфигурации я найти не смог, но и упоминание того, что ключ желательно иметь только мне попадалось на форумах TechNet (ссылку к сожалению не сохранил). | ||
Строка 12: | Строка 67: | ||
{{: | {{: | ||
- | {{tag> | + | {{tag> |
~~DISCUSSION~~ | ~~DISCUSSION~~ |
microsoft-windows/windows-server-2012-r2/adds/how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa/how-to-create-key-distribution-services-kds-root-key.1540909114.txt.gz · Последнее изменение: 30.10.2018 17:18 — Алексей Максимов