O "Add-KdsRootKey" é um cmdlet do PowerShell utilizado em ambientes Windows Server, especificamente no contexto do Active Directory, para criar uma chave raiz do Serviço de Distribuição de Chaves (KDS). Esta chave é essencial para configurar o Active Directory com base em políticas de acesso dinâmico, como o "Group Managed Service Accounts" (gMSA). O gMSA é uma conta de serviço gerenciada que oferece uma maneira segura e eficiente de gerenciar senhas de contas de serviço em ambientes corporativos.

Exemplos:

1. Criando uma chave KDS Root com atraso padrão:

Para criar uma chave KDS Root com um atraso padrão de 10 horas (recomendado para garantir a replicação em todos os controladores de domínio), execute o seguinte comando no PowerShell com privilégios administrativos:

   Add-KdsRootKey -EffectiveImmediately

Este comando cria uma chave que será efetiva imediatamente, mas ainda respeita o atraso padrão para garantir a replicação adequada.

2. Criando uma chave KDS Root com um atraso específico:

Se precisar definir um atraso específico para a chave se tornar efetiva, você pode usar o parâmetro -EffectiveTime. Por exemplo, para definir um atraso de 10 horas, você pode usar:

   $futureTime = (Get-Date).AddHours(10)

   Add-KdsRootKey -EffectiveTime $futureTime

Este comando calcula a hora atual e adiciona 10 horas, configurando a chave para ser efetiva após esse período.

3. Verificando a existência de uma chave KDS Root:

Após criar a chave, você pode verificar se ela foi criada corretamente usando o seguinte comando:

   Get-KdsRootKey

Este comando lista todas as chaves KDS Root existentes no domínio.

Considerações:

• Certifique-se de que o PowerShell está sendo executado com privilégios administrativos.


• A criação de uma chave KDS Root deve ser feita apenas uma vez por domínio.


• Aguarde o tempo de replicação necessário antes de usar gMSA, para garantir que a chave esteja disponível em todos os controladores de domínio.