Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek pro IT profesionály představuje skupinový účet spravované služby (gMSA) popisem praktických aplikací, změn implementace Microsoftu a požadavků na hardware a software.
Popis funkce
Samostatný účet spravované služby (sMSA) je spravovaný účet domény, který poskytuje automatickou správu hesel, zjednodušenou správu hlavního názvu služby (SPN) a možnost delegovat správu na jiné správce. Správci domény můžou delegovat správu služeb správcům služeb, kteří můžou spravovat celý životní cyklus účtu spravované služby nebo skupinového účtu spravované služby. Stávající klientské počítače se můžou ověřit v jakékoli takové službě, aniž by věděly, ve které instanci služby se ověřují. Tento typ účtu spravované služby (MSA) byl zaveden v systémech Windows Server 2008 R2 a Windows 7.
Skupina Účet spravované služby (gMSA) poskytuje stejné funkce v rámci domény a také rozšiřuje tuto funkci na více serverů. Tím se minimalizuje režijní náklady na správu účtu služby tím, že umožňuje systému Windows zpracovávat správu hesel pro tyto účty. Když se připojíte ke službě hostované na serverové farmě, jako je řešení s vyrovnáváním zatížení sítě, ověřovací protokoly podporující vzájemné ověřování vyžadují, aby všechny instance služeb používaly stejný objekt zabezpečení. Při použití gMSA jako instančního objektu spravuje operační systém Windows heslo pro účet místo toho, aby se na správu hesla spoléhal správce.
Služba distribuce klíčů Společnosti Microsoft (kdssvc.dll) umožňuje bezpečně získat nejnovější klíč nebo konkrétní klíč s identifikátorem klíče pro účet služby Active Directory. Služba distribuce klíčů sdílí tajný klíč, který se používá k vytvoření klíčů pro účet. Tyto klíče se pravidelně mění. V případě gMSA řadič domény vypočítá heslo pro klíč, který služba distribuce klíčů poskytuje, spolu s dalšími atributy gMSA. Hostitelé členů mohou získat aktuální a předchozí hodnoty hesla kontaktováním řadiče domény.
Praktické aplikace
GMSA poskytují jedno řešení identit pro služby běžící na serverové farmě nebo v systémech za Network Load Balancerem. Poskytnutím řešení gMSA můžete nakonfigurovat služby pro nový objekt gMSA, zatímco Systém Windows zpracovává správu hesel.
Když služby nebo správci služeb používají gMSA, nemusí spravovat synchronizaci hesel mezi instancemi služby. GMSA podporuje hostitele uchovávané offline po delší časové období a spravuje členské hostitele pro všechny instance služby. Můžete nasadit serverovou farmu, která podporuje jednu identitu, kterou stávající klientské počítače mohou ověřit, aniž byste museli vědět, ke které instanci služby se připojují.
I když clustery převzetí služeb při selhání nepodporují gMSA, můžou služby, které pracují s clusterovou službou, využívat gMSA nebo sMSA, pokud jde o službu Windows, fond aplikací, naplánovanou úlohu nebo nativně podporují gMSA nebo sMSA.
Požadavky na software
Abyste mohli spouštět příkazy Windows PowerShellu, které potřebujete ke správě gMSA, musíte mít 64bitovou architekturu.
Účet spravované služby závisí na podporovaných typech šifrování Kerberos. Když se klientský počítač ověří na serveru pomocí protokolu Kerberos, řadič domény vytvoří lístek služby Kerberos chráněný šifrováním, které podporuje řadič domény i server. Řadič domény určí pomocí atributu msDS-SupportedEncryptionTypes účtu, jaké šifrování podporuje server. Pokud neexistuje atribut, řadič domény zachází s klientským počítačem stejně, jako nepodporuje silnější typy šifrování. Pokud jste nakonfigurovali hostitele tak, aby nepodporuje rc4, ověřování vždy selže. Z tohoto důvodu byste vždy měli nakonfigurovat AES pro služby MSA.
Poznámka
Od windows Serveru 2008 R2 je des ve výchozím nastavení zakázaný. Další informace o podporovaných typech šifrování najdete v tématu Změny ověřování protokolu Kerberos.
Poznámka
GMSA se nevztahují na operační systémy Windows starší než Windows Server 2012. Pro Windows Server 2012 se příkazy cmdlet Windows PowerShell ve výchozím nastavení používají k správě gMSA účtů namísto účtů pro Spravované Služby Serveru.
Informace o Správci serveru
K implementaci MSA a gMSA pomocí Správce serveru ani rutiny Install-WindowsFeature nemusíte provádět žádnou další konfiguraci.
Další kroky
Tady jsou některé další zdroje informací, které si můžete přečíst, abyste se dozvěděli více o účtech spravované služby:
- Dokumentace k účtům spravované služby pro Windows 7 a Windows Server 2008 R2
- Servisní účty krok za krokem průvodce
- Začínáme se skupinovými účty spravované služby
- Spravované účty služeb ve službě Active Directory Domain Services
- účty spravované služby : Principy, implementace, osvědčené postupy a řešení potíží
- Přehled služby Active Directory Domain Services