Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Delegovaný účet spravované služby (dMSA) je účet služby Active Directory (AD), který poskytuje zabezpečenou a efektivní správu přihlašovacích údajů. Na rozdíl od tradičních účtů služeb nevyžadují dMSA ruční správu hesel, protože se o ně AD postará automaticky. U dMSA je možné konkrétní oprávnění delegovat pro přístup k prostředkům v doméně, což snižuje rizika zabezpečení a poskytuje lepší viditelnost a protokoly aktivit účtu služby.
Nastavení dMSA je aktuálně dostupné jenom na zařízeních s Windows Serverem 2025. DMSA je bezpečnější a spravovatelný přístup ke správě účtů služeb v porovnání s tradičními účty služeb. Díky migraci důležitých služeb do dMSA můžou organizace zajistit, aby tyto služby byly spravovány zabezpečeným a vyhovujícím způsobem. DMSA poskytuje vyšší úroveň zabezpečení tím, že nabízí jedinečná a často obměňovaná hesla, což snižuje pravděpodobnost neoprávněného přístupu a zlepšuje celkové zabezpečení.
Požadavky
Pokud používáte nástroje pro vzdálenou správu, musí být na vašem zařízení nebo na jakémkoli zařízení nainstalovaná role Active Directory Domain Services . Další informace najdete v tématu Instalace nebo odinstalace rolí, služeb rolí nebo funkcí.
Po instalaci role musí být vaše zařízení povýšeno na řadič domény (DC). Ve Správci serveru se v ikoně příznaku zobrazí nové oznámení. Vyberte Povýšit tento server na řadič domény a pak proveďte nezbytné kroky.
Abyste mohli vytvořit nebo migrovat do dMSA, musíte být členem skupiny Domain Admins nebo Enterprise Admins nebo mít ekvivalentní oprávnění AD.
Ujistěte se, že je navázán obousměrný vztah důvěry mezi příslušnými lesy AD, který podporuje ověřování pro scénáře mezi doménami a mezi lesy pomocí dMSA.
Kořenový klíč KDS musí být vygenerován na řadiči domény před vytvořením nebo migrací dMSA. Spuštěním
Get-KdsRootKey
v PowerShellu ověřte, jestli je klíč dostupný. Pokud klíč není dostupný, můžete ho přidat spuštěnímAdd-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
příkazu .Poznámka:
Pokud chcete použít dMSA jako samostatný účet spravované služby (MSA) nebo nahradit starší účet služby, musí být na klientském zařízení spuštěn následující příkaz:
$params = @{ Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" Name = "DelegatedMSAEnabled" Value = 1 Type = "DWORD" } Set-ItemProperty @params
Vytvoření samostatné dMSA
Následující pokyny umožňují uživatelům vytvořit nový účet dMSA bez migrace z tradičního účtu služby.
Otevřete relaci PowerShellu s administrátorskými právy a spusťte:
$params = @{ Name = "ServiceAccountName" DNSHostName = "DNSHostName" CreateDelegatedServiceAccount = $true KerberosEncryptionType = "AES256" } New-ADServiceAccount @params
Udělte konkrétnímu zařízení oprávnění k načtení hesla pro účet služby ve službě AD:
$params = @{ Identity = "DMSA Name" PrincipalsAllowedToRetrieveManagedPassword = "Machine$" } Set-ADServiceAccount @params
Hodnota vlastnosti msDS-DelegatedMSAState pro dMSA musí být nastavena na hodnotu 3. Pokud chcete zobrazit aktuální hodnotu vlastnosti, spusťte:
$params = @{ Identity = "dMSAsnmp" Properties = "msDS-DelegatedMSAState" } Get-ADServiceAccount @params
Pokud chcete tuto hodnotu nastavit na hodnotu 3, spusťte:
$params = @{ Identity = "dMSAsnmp" Properties = @{ "msDS-DelegatedMSAState" = 3 } } Set-ADServiceAccount @params
Migrace na dMSA
Pokud chcete migrovat účet služby do dMSA, postupujte takto:
Vytvořte dMSA, jak je popsáno v Vytvořit samostatný dMSA.
Zahájení migrace účtu do dMSA:
$params = @{ Identity = "<DMSAName>" SupersededAccount = "<DN of service account>" } Start-ADServiceAccountMigration @params
Pokud má účet služby migrovaný na dMSA přístup k více serverům, je potřeba nejprve použít zásadu registru, aby se zajistilo, že výchozí server je řadič domény. Po přihlášení pomocí dMSA spusťte:
$params = @{ Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" Name = "DelegatedMSAEnabled" Value = "1" PropertyType = "DWORD" Force = $true } New-ItemProperty @params
Po použití změn registru a propojení účtu restartujte spuštěné služby účtu spuštěním následujícího příkazu:
Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
Poznámka:
V případě, že je účet služby připojený k více zařízením a migrace skončila, musí být objekt PrincipalsAllowedToRetrieveManagedPassword aktualizován ručně.
Dokončení migrace účtu
Výstraha
Při dokončení migrace nikdy neodstraňovat původní účet služby pro případ, že byste se k němu potřebovali vrátit po migraci, protože to způsobuje několik problémů.
Aby bylo možné dokončit migraci účtu, musí být tradiční účty služeb zakázané, aby se zajistilo, že všechny služby používají dMSA.
Pokud chcete zakázat tradiční účet služby, spusťte následující příkaz:
$params = @{
Identity = "<DMSAName>"
SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params
Pokud se migruje nesprávný účet, spuštěním následujícího příkazu vraťte všechny kroky během migrace zpět:
$params = @{
Identity = "<DMSAName>"
SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params
Pokud chcete vrátit účet služby zpět do neaktivního nebo nepřipojeného stavu, spusťte:
$params = @{
Identity = "<DMSAName>"
SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params
Zobrazení protokolů událostí dMSA
Události lze zobrazit pomocí Prohlížeče událostí (eventvwr.exe) provedením následujících akcí:
- Klikněte pravým tlačítkem na Start a vyberte Prohlížeč událostí.
- V levém podokně rozbalte položky Aplikace a služby a přejděte na Microsoft\Windows\Security-Kerberos\Operational.
- Protokolování pro tohoto poskytovatele je ve výchozím nastavení zakázané, pokud chcete povolit protokolování, klikněte pravým tlačítkem myši na Provozní a vyberte Povolit protokol.
Následující tabulka popisuje tyto zachycené události.
ID události | Popis |
---|---|
307 | Migrace dMSA – Tato událost se zapisuje pro dMSA v migraci i pro ty, které již migrovaly. Obsahuje informace o starém účtu služby a nové dMSA. |
308 | dMSA Permission Add – Tato událost se zaprotokoluje, když se počítač pokusí přidat mezi hlavní objekty oprávněné načíst pole spravovaného hesla dMSA během migrace. |
309 | dMSA Key Fetch – tato událost se protokoluje, když se klient Kerberos pokusí načíst klíče pro dMSA z řadiče domény. |