Sdílet prostřednictvím


Nastavení delegovaných účtů spravované služby

Delegovaný účet spravované služby (dMSA) je účet služby Active Directory (AD), který poskytuje zabezpečenou a efektivní správu přihlašovacích údajů. Na rozdíl od tradičních účtů služeb nevyžadují dMSA ruční správu hesel, protože se o ně AD postará automaticky. U dMSA je možné konkrétní oprávnění delegovat pro přístup k prostředkům v doméně, což snižuje rizika zabezpečení a poskytuje lepší viditelnost a protokoly aktivit účtu služby.

Nastavení dMSA je aktuálně dostupné jenom na zařízeních s Windows Serverem 2025. DMSA je bezpečnější a spravovatelný přístup ke správě účtů služeb v porovnání s tradičními účty služeb. Díky migraci důležitých služeb do dMSA můžou organizace zajistit, aby tyto služby byly spravovány zabezpečeným a vyhovujícím způsobem. DMSA poskytuje vyšší úroveň zabezpečení tím, že nabízí jedinečná a často obměňovaná hesla, což snižuje pravděpodobnost neoprávněného přístupu a zlepšuje celkové zabezpečení.

Prerequisites

  • Pokud používáte nástroje pro vzdálenou správu, musí být na vašem zařízení nebo na jakémkoli zařízení nainstalovaná role Active Directory Domain Services . Další informace najdete v tématu Instalace nebo odinstalace rolí, služeb rolí nebo funkcí.

  • Po instalaci role musí být vaše zařízení povýšeno na řadič domény (DC). In Server Manager, the flag icon displays a new notification. Vyberte Povýšit tento server na řadič domény a pak proveďte nezbytné kroky.

  • You must be a member of the Domain Admins or Enterprise Admins group, or have equivalent AD permissions, to create or migrate to a dMSA.

  • Ujistěte se, že je navázán obousměrný vztah důvěry mezi příslušnými lesy AD, který podporuje ověřování pro scénáře mezi doménami a mezi lesy pomocí dMSA.

  • Kořenový klíč KDS musí být vygenerován na řadiči domény před vytvořením nebo migrací dMSA. Spuštěním Get-KdsRootKey v PowerShellu ověřte, jestli je klíč dostupný. Pokud klíč není dostupný, můžete ho přidat spuštěním Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))příkazu .

    Note

    Pokud chcete použít dMSA jako samostatný účet spravované služby (MSA) nebo nahradit starší účet služby, musí být na klientském zařízení spuštěn následující příkaz:

    $params = @{
     Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
     Name = "DelegatedMSAEnabled"
     Value = 1
     Type = "DWORD"
    }
    Set-ItemProperty @params
    

Vytvoření samostatné dMSA

Následující pokyny umožňují uživatelům vytvořit nový účet dMSA bez migrace z tradičního účtu služby.

  1. Otevřete relaci PowerShellu s administrátorskými právy a spusťte:

    $params = @{
     Name = "ServiceAccountName"
     DNSHostName = "DNSHostName"
     CreateDelegatedServiceAccount = $true
     KerberosEncryptionType = "AES256"
    }
    New-ADServiceAccount @params
    
  2. Udělte konkrétnímu zařízení oprávnění k načtení hesla pro účet služby ve službě AD:

    $params = @{
     Identity = "DMSA Name"
     PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
    }
    Set-ADServiceAccount @params
    
  3. The msDS-DelegatedMSAState property value for the dMSA must be set to 3. Pokud chcete zobrazit aktuální hodnotu vlastnosti, spusťte:

    $params = @{
     Identity = "dMSAsnmp"
     Properties = "msDS-DelegatedMSAState"
    }
    Get-ADServiceAccount @params
    

    To set this value to 3, run:

    $params = @{
     Identity = "dMSAsnmp"
     Properties = @{
      "msDS-DelegatedMSAState" = 3
     }
    }
    Set-ADServiceAccount @params
    

Migrace na dMSA

Pokud chcete migrovat účet služby do dMSA, postupujte takto:

  1. Vytvořte dMSA, jak je popsáno v Vytvořit samostatný dMSA.

  2. Zahájení migrace účtu do dMSA:

    $params = @{
     Identity = "<DMSAName>"
     SupersededAccount = "<DN of service account>"
    }
    Start-ADServiceAccountMigration @params
    
  3. Pokud má účet služby migrovaný na dMSA přístup k více serverům, je potřeba nejprve použít zásadu registru, aby se zajistilo, že výchozí server je řadič domény. Po přihlášení pomocí dMSA spusťte:

    $params = @{
     Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
     Name = "DelegatedMSAEnabled"
     Value = "1"
     PropertyType = "DWORD"
     Force = $true
    }
    New-ItemProperty @params
    
  4. Po použití změn registru a propojení účtu restartujte spuštěné služby účtu spuštěním následujícího příkazu:

    Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
    

Note

In the case that the service account is connected to multiple devices and migration has ended, the PrincipalsAllowedToRetrieveManagedPassword needs to be updated manually.

Dokončení migrace účtu

Warning

When finalizing the migration, never delete the original service account in case you need to revert back to it post migration as this causes several issues.

Aby bylo možné dokončit migraci účtu, musí být tradiční účty služeb zakázané, aby se zajistilo, že všechny služby používají dMSA.

Pokud chcete zakázat tradiční účet služby, spusťte následující příkaz:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Pokud se migruje nesprávný účet, spuštěním následujícího příkazu vraťte všechny kroky během migrace zpět:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Pokud chcete vrátit účet služby zpět do neaktivního nebo nepřipojeného stavu, spusťte:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

Zobrazení protokolů událostí dMSA

Události lze zobrazit pomocí Prohlížeče událostí (eventvwr.exe) provedením následujících akcí:

  1. Right-click on Start and select Event Viewer.
  2. V levém podokně rozbalte položky Aplikace a služby a přejděte na Microsoft\Windows\Security-Kerberos\Operational.
  3. Logging for this provider is disabled by default, to enable logging, right-click on Operational and select Enable Log.

Následující tabulka popisuje tyto zachycené události.

Event ID Description
307 dMSA Migration - This event is written for both dMSAs under migration and for ones that migrated. Obsahuje informace o starém účtu služby a nové dMSA.
308 dMSA Permission Add – Tato událost se zaprotokoluje, když se počítač pokusí přidat mezi hlavní objekty oprávněné načíst pole spravovaného hesla dMSA během migrace.
309 dMSA Key Fetch – tato událost se protokoluje, když se klient Kerberos pokusí načíst klíče pro dMSA z řadiče domény.

See also