Nastavení delegovaných účtů spravované služby

Delegovaný účet spravované služby (dMSA) je účet služby Active Directory (AD), který poskytuje zabezpečenou a efektivní správu přihlašovacích údajů. Na rozdíl od tradičních účtů služeb nevyžadují dMSA ruční správu hesel, protože se o ně AD postará automaticky. U dMSA je možné konkrétní oprávnění delegovat pro přístup k prostředkům v doméně, což snižuje rizika zabezpečení a poskytuje lepší viditelnost a protokoly aktivit účtu služby.

Nastavení dMSA je aktuálně dostupné jenom na zařízeních s Windows Serverem 2025. DMSA je bezpečnější a spravovatelný přístup ke správě účtů služeb v porovnání s tradičními účty služeb. Díky migraci důležitých služeb do dMSA můžou organizace zajistit, aby tyto služby byly spravovány zabezpečeným a vyhovujícím způsobem. DMSA poskytuje vyšší úroveň zabezpečení tím, že nabízí jedinečná a často obměňovaná hesla, což snižuje pravděpodobnost neoprávněného přístupu a zlepšuje celkové zabezpečení.

Požadavky

• Pokud používáte nástroje pro vzdálenou správu, musí být na vašem zařízení nebo na jakémkoli zařízení nainstalovaná role Active Directory Domain Services . Další informace najdete v tématu Instalace nebo odinstalace rolí, služeb rolí nebo funkcí.

• Po instalaci role musí být vaše zařízení povýšeno na řadič domény (DC). Ve Správci serveru se v ikoně příznaku zobrazí nové oznámení. Vyberte Povýšit tento server na řadič domény a pak proveďte nezbytné kroky.

• Abyste mohli vytvořit nebo migrovat do dMSA, musíte být členem skupiny Domain Admins nebo Enterprise Admins nebo mít ekvivalentní oprávnění AD.

• Ujistěte se, že je navázán obousměrný vztah důvěry mezi příslušnými lesy AD, který podporuje ověřování pro scénáře mezi doménami a mezi lesy pomocí dMSA.

• Kořenový klíč KDS musí být vygenerován na řadiči domény před vytvořením nebo migrací dMSA. Spuštěním Get-KdsRootKey v PowerShellu ověřte, jestli je klíč dostupný. Pokud klíč není dostupný, můžete ho přidat spuštěním Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))příkazu .

  Poznámka:

  Pokud chcete použít dMSA jako samostatný účet spravované služby (MSA) nebo nahradit starší účet služby, musí být na klientském zařízení spuštěn následující příkaz:

  $params = @{
   Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
   Name = "DelegatedMSAEnabled"
   Value = 1
   Type = "DWORD"
  }
  Set-ItemProperty @params
  

Vytvoření samostatné dMSA

Následující pokyny umožňují uživatelům vytvořit nový účet dMSA bez migrace z tradičního účtu služby.

1. Otevřete relaci PowerShellu s administrátorskými právy a spusťte:

   $params = @{
    Name = "ServiceAccountName"
    DNSHostName = "DNSHostName"
    CreateDelegatedServiceAccount = $true
    KerberosEncryptionType = "AES256"
   }
   New-ADServiceAccount @params
   

2. Udělte konkrétnímu zařízení oprávnění k načtení hesla pro účet služby ve službě AD:

   $params = @{
    Identity = "DMSA Name"
    PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
   }
   Set-ADServiceAccount @params
   

3. Hodnota vlastnosti msDS-DelegatedMSAState pro dMSA musí být nastavena na hodnotu 3. Pokud chcete zobrazit aktuální hodnotu vlastnosti, spusťte:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = "msDS-DelegatedMSAState"
   }
   Get-ADServiceAccount @params
   

   Pokud chcete tuto hodnotu nastavit na hodnotu 3, spusťte:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = @{
     "msDS-DelegatedMSAState" = 3
    }
   }
   Set-ADServiceAccount @params
   

Migrace na dMSA

Pokud chcete migrovat účet služby do dMSA, postupujte takto:

1. Vytvořte dMSA, jak je popsáno v Vytvořit samostatný dMSA.

2. Zahájení migrace účtu do dMSA:

   $params = @{
    Identity = "<DMSAName>"
    SupersededAccount = "<DN of service account>"
   }
   Start-ADServiceAccountMigration @params
   

3. Pokud má účet služby migrovaný na dMSA přístup k více serverům, je potřeba nejprve použít zásadu registru, aby se zajistilo, že výchozí server je řadič domény. Po přihlášení pomocí dMSA spusťte:

   $params = @{
    Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
    Name = "DelegatedMSAEnabled"
    Value = "1"
    PropertyType = "DWORD"
    Force = $true
   }
   New-ItemProperty @params
   

4. Po použití změn registru a propojení účtu restartujte spuštěné služby účtu spuštěním následujícího příkazu:

   Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
   

Poznámka:

V případě, že je účet služby připojený k více zařízením a migrace skončila, musí být objekt PrincipalsAllowedToRetrieveManagedPassword aktualizován ručně.

Dokončení migrace účtu

Výstraha

Při dokončení migrace nikdy neodstraňovat původní účet služby pro případ, že byste se k němu potřebovali vrátit po migraci, protože to způsobuje několik problémů.

Aby bylo možné dokončit migraci účtu, musí být tradiční účty služeb zakázané, aby se zajistilo, že všechny služby používají dMSA.

Pokud chcete zakázat tradiční účet služby, spusťte následující příkaz:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Pokud se migruje nesprávný účet, spuštěním následujícího příkazu vraťte všechny kroky během migrace zpět:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Pokud chcete vrátit účet služby zpět do neaktivního nebo nepřipojeného stavu, spusťte:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

Zobrazení protokolů událostí dMSA

Události lze zobrazit pomocí Prohlížeče událostí (eventvwr.exe) provedením následujících akcí:

1. Klikněte pravým tlačítkem na Start a vyberte Prohlížeč událostí.
2. V levém podokně rozbalte položky Aplikace a služby a přejděte na Microsoft\Windows\Security-Kerberos\Operational.
3. Protokolování pro tohoto poskytovatele je ve výchozím nastavení zakázané, pokud chcete povolit protokolování, klikněte pravým tlačítkem myši na Provozní a vyberte Povolit protokol.

Následující tabulka popisuje tyto zachycené události.

ID události	Popis
307	Migrace dMSA – Tato událost se zapisuje pro dMSA v migraci i pro ty, které již migrovaly. Obsahuje informace o starém účtu služby a nové dMSA.
308	dMSA Permission Add – Tato událost se zaprotokoluje, když se počítač pokusí přidat mezi hlavní objekty oprávněné načíst pole spravovaného hesla dMSA během migrace.
309	dMSA Key Fetch – tato událost se protokoluje, když se klient Kerberos pokusí načíst klíče pro dMSA z řadiče domény.

Viz také

• New-ADServiceAccount
• Dokončit migraci účtu služby AD
• Reset-ADServiceAccountMigration
• Začít migraci AD servisního účtu
• Vrátit zpět migraci účtu ADService