Spouštění hodnocení s účty spravované služby

Účty spravované služby (MSA) jsou typem objektu zabezpečení, který je k dispozici v aktuálně podporovaných verzích Active Directory Domain Services. Sdílejí charakteristiky počítačových i uživatelských objektů zabezpečení. Dají se přidat do skupin zabezpečení, můžou se ověřovat a přistupovat k prostředkům v síti. Jsou určeny k používání službami, fondy aplikací služby IIS a plánovanými úlohami.

Výhody účtů spravované služby

Účty spravované služby řeší konkrétní problémy spojené s používáním uživatelských účtů pro spuštěné služby, naplánované úlohy a fondy aplikací služby IIS:

• Automatická správa hesel
• Zjednodušená správa hlavního názvu služby (SPN)
• Nedá se použít k interaktivnímu přihlášení do Systému Windows.
• Snadné řízení, které počítače jsou autorizované, ověřují účty MSA a spouštějí kód v jejich kontextu.

Posouzení na vyžádání, která můžou používat účty spravované služby

Účty spravované služby mohou být nakonfigurované pro spouštění následujících hodnocení na vyžádání.

• Active Directory
• Zabezpečení služby Active Directory
• System Center Configuration Manager
• SharePoint
• SQL Server
• Klient Windows
• Windows Server

Poznámka

Účty spravované služby nejsou oficiálně podporovány zákaznickými službami Microsoftu pro některé konfigurace prostředí. I když ve většině scénářů fungují, může být nutné použít účet domény, pokud konfigurace prostředí brání použití účtu spravované služby.

Zřízení účtů spravované služby

Předpokladem konfigurace naplánované úlohy posouzení pro spuštění jako MSA je zřízení nebo vytvoření MSA v Active Directory Domain Services. Každé z podporovaných hodnocení určuje požadavky na autorizaci a přístup naplánovaného účtu úlohy, který se má úspěšně spustit. Podrobnosti o požadavcích na přístup k účtu naplánované úlohy najdete v podporovaných dokumentech o úvodních a požadovaných dokumentech posouzení.

Existují dva typy účtů spravovaných služeb. Pro podporovaná hodnocení je možné nakonfigurovat pro naplánovanou úlohu posouzení:

• Samostatné účty spravované služby (označované také jako virtuální účty) je možné autorizovat k ověřování pouze na jednom počítači připojeném k doméně.
• Skupinové účty spravované služby je možné autorizovat k ověřování na několika počítačích domény.

Modul Windows PowerShell Active Directory se vyžaduje ke zřizování a konfiguraci obou typů msa. Řadiče domény mají tento modul PowerShellu obvykle nainstalovaný během instalace role řadiče domény.

Modul, součást Nástrojů pro správu vzdáleného serveru, může být přidán do skladových položek Windows Serveru prostřednictvím Správce serveru. Modul lze také přidat do Windows 10.

Scénář 1 – Samostatný účet spravované služby (sMSA)

Active Directory Domain Services schématu doménové struktury musí být minimálně Windows Server 2008 R2, aby bylo možné úspěšně zřizovat samostatné účty spravované služby. Na počítačích, na kterých běží naplánované úlohy jako sMSA, musí běžet Windows Server 2012 nebo novější.

Zřízení sMSA pro spouštění hodnocení na vyžádání probíhá ve třech krocích:

1. Vytvořte sMSA pomocí rutiny PowerShellu New-ADServiceAccount.
2. Pomocí rutiny powershellu Add-ADComputerServiceAccount autorizovat počítač pro shromažďování dat, aby získal heslo pro sMSA.
3. Udělte sMSA požadovaný přístup k posuzovanému prostředí podle dokumentace k předpokladům pro příslušné konfigurované posouzení.

Vytvoření samostatného účtu spravované služby

Pokud chcete vytvořit sMSA, spusťte v relaci PowerShellu následující příkaz z řadiče domény nebo člena domény s nainstalovaným modulem Windows PowerShell Active Directory pomocí účtu s potřebnými oprávněními k vytváření účtů ve službě Active Directory (operátoři účtů nebo správci domény mají ve výchozím nastavení potřebná oprávnění).

New-ADServiceAccount -Name <sMSAaccountname>  -RestrictToSingleComputer

Příklad: PS C:> New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer

Autorizace počítače pro shromažďování dat pro použití sMSA

Pokud chcete počítač pro shromažďování dat autorizovat k získání hesla pro sMSA, spusťte následující příkaz v relaci PowerShellu z řadiče domény nebo člena domény s nainstalovaným modulem Windows PowerShell Active Directory pomocí účtu s potřebnými oprávněními k vytváření účtů ve službě Active Directory (ve výchozím nastavení mají potřebná oprávnění operátoři účtů nebo správci domény).

Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”

Příklad: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"

Instalace sMSA na počítači pro shromažďování dat

Předběžné ukládání sMSA do mezipaměti na počítači pro shromažďování dat slouží k důležitému ověřovacímu kroku, aby se zajistilo, že je účet správně zřízený a počítač pro shromažďování dat může úspěšně načíst heslo sMSA a použít účet. Na počítači pro shromažďování dat s nainstalovaným modulem PowerShellu služby Active Directory spusťte následující příkaz.

Install-ADServiceAccount -Identity “sMSA samaccountname”

Příklad: Install-ADServiceAccount -Identity "sMSA-SVC$"

Poznámka

Pokud se vrátí chyba rutiny nenalezena, nainstalujte modul PowerShellu služby Active Directory, který je vysvětlený v části Zřízení účtů spravované služby výše.

V případě dalších chyb si projděte kanál protokolu událostí Microsoft-Windows-Security-Netlogon/Operational event pro události kategorií MSA.

Scénář 2 – Skupinový účet spravované služby (gMSA)

Active Directory Domain Services schéma doménové struktury musí být minimálně ve Windows Serveru 2012, aby bylo možné úspěšně zřídit účty skupinových spravovaných služeb. Na počítačích s naplánovanými úlohami jako gMSA musí běžet Windows Server 2012 nebo novější.

Existují 3 kroky, jak zřídit gMSA pro spouštění hodnocení na vyžádání:

1. Vytvoření kořenového klíče KDS služby Distribuce klíčů ve službě Active Directory pomocí Add-KDSRootKey
2. Vytvořte gMSA a autorizujete počítač pro shromažďování dat, abyste získali heslo pro gMSA pomocí rutiny powershellu New-ADServiceAccount.
3. Udělte gMSA požadovaný přístup k posuzovanému prostředí podle dokumentace k předpokladům pro příslušné konfigurované posouzení.

Zřízení kořenového klíče KDS

Kořenový klíč KDS musí být nejprve vytvořen, pokud nebyl nikdy vytvořen v doménové struktuře služby Active Directory.  Pokud chcete zjistit, jestli existuje kořenový klíč KDS, spusťte v relaci PowerShellu následující příkaz.

Get-KdsRootKey

Poznámka

Pokud tento příkaz nic nevrátí, v doménové struktuře služby Active Directory neexistuje žádný kořenový klíč.

Pokud chcete vytvořit kořenový klíč KDS, spusťte následující příkaz v relaci PowerShellu z řadiče domény nebo člena domény s nainstalovaným modulem Windows PowerShell Active Directory pomocí účtu s potřebnými oprávněními k vytváření účtů ve službě Active Directory (podnikoví správci a správci domény v kořenové doméně doménové struktury mají ve výchozím nastavení potřebná oprávnění).

Add-KdsRootKey -EffectiveImmediately 

Add-KdsRootKey -EffectiveImmediately umožňuje vytvoření gMSA po 10 hodinách, aby se zajistilo, že se replikace konverguje do všech řadičů domény.

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) 

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) umožňuje okamžité vytvoření gMSA.

Tento přístup způsobuje určitá rizika neúspěšného vytvoření nebo použití gMSA, pokud v rámci normálních operací trvá několik hodin konvergenční doménová struktura replikace AD v celé doménové struktuře.

Vytvoření skupinového účtu spravované služby

Pokud chcete vytvořit gMSA, spusťte následující příkaz v relaci PowerShellu z řadiče domény nebo člena domény s nainstalovaným modulem Windows PowerShell Active Directory pomocí účtu s potřebnými oprávněními k vytváření účtů ve službě Active Directory (operátoři účtů nebo správci domény mají ve výchozím nastavení potřebná oprávnění).

New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”

Příklad: PS C:> New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"

Instalace gMSA na počítači pro shromažďování dat

Předběžné ukládání gMSA do mezipaměti na počítači pro shromažďování dat slouží k důležitému ověřovacímu kroku, aby se zajistilo, že je účet správně zřízený a počítač pro shromažďování dat může úspěšně načíst heslo gMSA a použít účet. Na počítači pro shromažďování dat s nainstalovaným modulem PowerShellu služby Active Directory spusťte následující příkaz.

Install-ADServiceAccount -Identity “gMSA samaccountname”

Příklad: Install-ADServiceAccount -Identity "gMSA-SVC$"

Poznámka

Pokud se vrátí chyba rutiny nenalezena, nainstalujte modul PowerShellu služby Active Directory, který je vysvětlený v části Zřízení účtů spravované služby výše.

V případě dalších chyb si projděte kanál protokolu událostí Microsoft-Windows-Security-Netlogon/Operational event pro události kategorií MSA.