Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Delegovaný účet spravované služby (dMSA) je účet služby Active Directory (AD), který poskytuje zabezpečenou a efektivní správu přihlašovacích údajů. Na rozdíl od tradičních účtů služeb nevyžadují dMSA ruční správu hesel, protože se o ně AD postará automaticky. U dMSA je možné konkrétní oprávnění delegovat pro přístup k prostředkům v doméně, což snižuje rizika zabezpečení a poskytuje lepší viditelnost a protokoly aktivit účtu služby.
Nastavení dMSA je aktuálně dostupné jenom na zařízeních s Windows Serverem 2025. DMSA je bezpečnější a spravovatelný přístup ke správě účtů služeb v porovnání s tradičními účty služeb. Díky migraci důležitých služeb do dMSA můžou organizace zajistit, aby tyto služby byly spravovány zabezpečeným a vyhovujícím způsobem. DMSA poskytuje vyšší úroveň zabezpečení tím, že nabízí jedinečná a často obměňovaná hesla, což snižuje pravděpodobnost neoprávněného přístupu a zlepšuje celkové zabezpečení.
Prerequisites
Pokud používáte nástroje pro vzdálenou správu, musí být na vašem zařízení nebo na jakémkoli zařízení nainstalovaná role Active Directory Domain Services . Další informace najdete v tématu Instalace nebo odinstalace rolí, služeb rolí nebo funkcí.
Po instalaci role musí být vaše zařízení povýšeno na řadič domény (DC). In Server Manager, the flag icon displays a new notification. Vyberte Povýšit tento server na řadič domény a pak proveďte nezbytné kroky.
You must be a member of the Domain Admins or Enterprise Admins group, or have equivalent AD permissions, to create or migrate to a dMSA.
Ujistěte se, že je navázán obousměrný vztah důvěry mezi příslušnými lesy AD, který podporuje ověřování pro scénáře mezi doménami a mezi lesy pomocí dMSA.
Kořenový klíč KDS musí být vygenerován na řadiči domény před vytvořením nebo migrací dMSA. Spuštěním
Get-KdsRootKey
v PowerShellu ověřte, jestli je klíč dostupný. Pokud klíč není dostupný, můžete ho přidat spuštěnímAdd-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
příkazu .Note
Pokud chcete použít dMSA jako samostatný účet spravované služby (MSA) nebo nahradit starší účet služby, musí být na klientském zařízení spuštěn následující příkaz:
$params = @{ Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" Name = "DelegatedMSAEnabled" Value = 1 Type = "DWORD" } Set-ItemProperty @params
Vytvoření samostatné dMSA
Následující pokyny umožňují uživatelům vytvořit nový účet dMSA bez migrace z tradičního účtu služby.
Otevřete relaci PowerShellu s administrátorskými právy a spusťte:
$params = @{ Name = "ServiceAccountName" DNSHostName = "DNSHostName" CreateDelegatedServiceAccount = $true KerberosEncryptionType = "AES256" } New-ADServiceAccount @params
Udělte konkrétnímu zařízení oprávnění k načtení hesla pro účet služby ve službě AD:
$params = @{ Identity = "DMSA Name" PrincipalsAllowedToRetrieveManagedPassword = "Machine$" } Set-ADServiceAccount @params
The msDS-DelegatedMSAState property value for the dMSA must be set to 3. Pokud chcete zobrazit aktuální hodnotu vlastnosti, spusťte:
$params = @{ Identity = "dMSAsnmp" Properties = "msDS-DelegatedMSAState" } Get-ADServiceAccount @params
To set this value to 3, run:
$params = @{ Identity = "dMSAsnmp" Properties = @{ "msDS-DelegatedMSAState" = 3 } } Set-ADServiceAccount @params
Migrace na dMSA
Pokud chcete migrovat účet služby do dMSA, postupujte takto:
Vytvořte dMSA, jak je popsáno v Vytvořit samostatný dMSA.
Zahájení migrace účtu do dMSA:
$params = @{ Identity = "<DMSAName>" SupersededAccount = "<DN of service account>" } Start-ADServiceAccountMigration @params
Pokud má účet služby migrovaný na dMSA přístup k více serverům, je potřeba nejprve použít zásadu registru, aby se zajistilo, že výchozí server je řadič domény. Po přihlášení pomocí dMSA spusťte:
$params = @{ Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" Name = "DelegatedMSAEnabled" Value = "1" PropertyType = "DWORD" Force = $true } New-ItemProperty @params
Po použití změn registru a propojení účtu restartujte spuštěné služby účtu spuštěním následujícího příkazu:
Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
Note
In the case that the service account is connected to multiple devices and migration has ended, the PrincipalsAllowedToRetrieveManagedPassword needs to be updated manually.
Dokončení migrace účtu
Warning
When finalizing the migration, never delete the original service account in case you need to revert back to it post migration as this causes several issues.
Aby bylo možné dokončit migraci účtu, musí být tradiční účty služeb zakázané, aby se zajistilo, že všechny služby používají dMSA.
Pokud chcete zakázat tradiční účet služby, spusťte následující příkaz:
$params = @{
Identity = "<DMSAName>"
SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params
Pokud se migruje nesprávný účet, spuštěním následujícího příkazu vraťte všechny kroky během migrace zpět:
$params = @{
Identity = "<DMSAName>"
SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params
Pokud chcete vrátit účet služby zpět do neaktivního nebo nepřipojeného stavu, spusťte:
$params = @{
Identity = "<DMSAName>"
SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params
Zobrazení protokolů událostí dMSA
Události lze zobrazit pomocí Prohlížeče událostí (eventvwr.exe) provedením následujících akcí:
- Right-click on Start and select Event Viewer.
- V levém podokně rozbalte položky Aplikace a služby a přejděte na Microsoft\Windows\Security-Kerberos\Operational.
- Logging for this provider is disabled by default, to enable logging, right-click on Operational and select Enable Log.
Následující tabulka popisuje tyto zachycené události.
Event ID | Description |
---|---|
307 | dMSA Migration - This event is written for both dMSAs under migration and for ones that migrated. Obsahuje informace o starém účtu služby a nové dMSA. |
308 | dMSA Permission Add – Tato událost se zaprotokoluje, když se počítač pokusí přidat mezi hlavní objekty oprávněné načíst pole spravovaného hesla dMSA během migrace. |
309 | dMSA Key Fetch – tato událost se protokoluje, když se klient Kerberos pokusí načíst klíče pro dMSA z řadiče domény. |