Erstellen eines gruppenverwalteten Dienstkontos (gMSA) Azure Active Directory Domain Services

Anwendungen und Dienste benötigen häufig eine Identität, um sich bei anderen Ressourcen zu authentifizieren. Beispielsweise muss sich ein Webdienst unter Umständen bei einem Datenbankdienst authentifizieren. Wenn eine Anwendung oder ein Dienst über mehrere Instanzen verfügt (z.B. eine Webserverfarm), wird das manuelle Erstellen und Konfigurieren der Identitäten für diese Ressourcen zeitaufwändig.

Stattdessen können Sie in der verwalteten Azure AD DS-Domäne (Azure Active Directory Domain Services) ein gruppenverwaltetes Dienstkonto (gMSA) erstellen. Das Windows-Betriebssystem verwaltet die Anmeldeinformationen für ein gMSA automatisch, was die Verwaltung großer Ressourcengruppen vereinfacht.

In diesem Artikel wird gezeigt, wie Sie in einer verwalteten Domäne mithilfe von Azure PowerShell ein gruppenverwaltetes Dienstkonto (gMSA) erstellen.

Voraussetzungen

Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:

Übersicht über gruppenverwaltete Dienstkonten

Ein eigenständiges verwaltetes Dienstkonto (standalone-Managed Service Account, sMSA) ist ein Domänenkonto mit automatisch verwaltetem Kennwort. Dieser Ansatz vereinfacht die Verwaltung des Dienstprinzipalnamens und ermöglicht die Delegierung der Verwaltung an andere Administratoren. Sie müssen die Anmeldeinformationen für das Konto nicht manuell erstellen und ändern.

Ein gruppenverwaltetes Dienstkonto (gMSA) bietet die gleiche Vereinfachung der Verwaltung, jedoch für mehrere Server in der Domäne. Mit einem gMSA können alle Instanzen eines in einer Serverfarm gehosteten Diensts den gleichen Dienstprinzipal verwenden, damit Protokolle für die gegenseitige Authentifizierung funktionieren. Wird ein gMSA als Dienstprinzipal verwendet, wird das Kontokennwort nicht vom Administrator, sondern wieder vom Windows-Betriebssystem verwaltet.

Weitere Informationen finden Sie unter Übersicht über gruppenverwaltete Dienstkonten (gMSA).

Verwenden von Dienstkonten in Azure AD DS

Da verwaltete Azure Domänen von Microsoft gesperrt und verwaltet werden, sind bei der Verwendung von Dienstkonten einige Überlegungen erforderlich:

  • Erstellen Sie Dienstkonten in benutzerdefinierten Organisationseinheiten (OEs) in der verwalteten Domäne.
  • Der Stammschlüssel der Schlüsselverteilungsdienste (Key Distribution Services, KDS) wird vorab erstellt.
    • Der KDS-Stammschlüssel wird zum Generieren und Abrufen von Kennwörtern für gMSAs verwendet. In Azure AD DS wird der KDS-Stammschlüssel für Sie erstellt.
    • Sie haben keine Berechtigungen zum Erstellen eines anderen KDS-Stammschlüssels und können auch den Standardschlüssel nicht anzeigen.

Erstellen eines gruppenverwalteten Dienstkontos (gMSA)

Erstellen Sie zunächst mithilfe des Cmdlets New-ADOrganizationalUnit eine benutzerdefinierte Organisationseinheit. Weitere Informationen zum Erstellen und Verwalten von benutzerdefinierten Organisationseinheiten finden Sie unter Benutzerdefinierte Organisationseinheiten in Azure AD DS.

Tipp

Führen Sie diese Schritte zum Erstellen eines gMSA auf Ihrer Verwaltungs-VM aus. Diese Verwaltungs-VM muss bereits über die erforderlichen AD PowerShell-Cmdlets und eine Verbindung mit der verwalteten Domäne verfügen.

Im folgenden Beispiel wird eine benutzerdefinierte Organisationseinheit namens myNewOU in der verwalteten Domäne namens aaddscontoso.com erstellt. Verwenden Sie Ihre eigene Organisationseinheit und den Namen der verwalteten Domäne:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Erstellen Sie nun mit dem Cmdlet New-ADServiceAccount ein gMSA. Als Beispiel werden die folgenden Parameter definiert:

  • -Name = WebFarmSvc
  • -Path: Dieser Parameter gibt die benutzerdefinierte Organisationseinheit für das gMSA an, das im vorherigen Schritt erstellt wurde.
  • DNS-Einträge und Dienstprinzipalnamen werden für WebFarmSvc.aaddscontoso.com festgelegt.
  • Prinzipale in AADDSCONTOSO-SERVER$ dürfen das Kennwort abrufen und die Identität verwenden.

Geben Sie Ihre eigenen Namen und Domänennamen an.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Anwendungen und Dienste können jetzt so konfiguriert werden, dass Sie bei Bedarf das gMSA verwenden.

Nächste Schritte

Weitere Informationen zu gMSAs finden Sie unter Erste Schritte mit gruppenverwalteten Dienstkonten.