Erstellen eines gruppenverwalteten Dienstkontos (gMSA) in Microsoft Entra Domain Services

Anwendungen und Dienste benötigen häufig eine Identität, um sich bei anderen Ressourcen zu authentifizieren. Beispielsweise muss sich ein Webdienst unter Umständen bei einem Datenbankdienst authentifizieren. Wenn eine Anwendung oder ein Dienst über mehrere Instanzen verfügt (z.B. eine Webserverfarm), wird das manuelle Erstellen und Konfigurieren der Identitäten für diese Ressourcen zeitaufwändig.

Stattdessen können Sie in der verwalteten Microsoft Entra Domain Services-Domäne ein gruppenverwaltetes Dienstkonto (gMSA) erstellen. Das Windows-Betriebssystem verwaltet die Anmeldeinformationen für ein gMSA automatisch, was die Verwaltung großer Ressourcengruppen vereinfacht.

In diesem Artikel wird gezeigt, wie Sie in einer verwalteten Domäne mithilfe von Azure PowerShell ein gruppenverwaltetes Dienstkonto (gMSA) erstellen.

Voraussetzungen

Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Ein aktives Azure-Abonnement.
  • Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto.
• Einen mit Ihrem Abonnement verknüpften Microsoft Entra-Mandanten, der entweder mit einem lokalen Verzeichnis synchronisiert oder ein reines Cloudverzeichnis ist.
  • Erstellen Sie einen Microsoft Entra-Mandanten, oder verknüpfen Sie ein Azure-Abonnement mit Ihrem Konto, sofern erforderlich.
• Eine von Microsoft Entra Domain Services verwaltete Domäne, die in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert ist.
  • Bearbeiten Sie bei Bedarf das Tutorial Erstellen und Konfigurieren einer verwalteten Microsoft Entra Domain Services-Domäne.
• Eine Windows Server-Verwaltungs-VM, die in die verwaltete Domain Services-Domäne eingebunden ist.
  • Führen Sie bei Bedarf das Tutorial zum Erstellen eines virtuellen Verwaltungscomputers aus.

Übersicht über gruppenverwaltete Dienstkonten

Ein eigenständiges verwaltetes Dienstkonto (standalone-Managed Service Account, sMSA) ist ein Domänenkonto mit automatisch verwaltetem Kennwort. Dieser Ansatz vereinfacht die Verwaltung des Dienstprinzipalnamens und ermöglicht die Delegierung der Verwaltung an andere Administratoren. Sie müssen die Anmeldeinformationen für das Konto nicht manuell erstellen und ändern.

Ein gruppenverwaltetes Dienstkonto (gMSA) bietet die gleiche Vereinfachung der Verwaltung, jedoch für mehrere Server in der Domäne. Mit einem gMSA können alle Instanzen eines in einer Serverfarm gehosteten Diensts den gleichen Dienstprinzipal verwenden, damit Protokolle für die gegenseitige Authentifizierung funktionieren. Wird ein gMSA als Dienstprinzipal verwendet, wird das Kontokennwort nicht vom Administrator, sondern wieder vom Windows-Betriebssystem verwaltet.

Weitere Informationen finden Sie unter Übersicht über gruppenverwaltete Dienstkonten (gMSA).

Verwenden von Dienstkonten in Domain Services

Da verwaltete Azure Domänen von Microsoft gesperrt und verwaltet werden, sind bei der Verwendung von Dienstkonten einige Überlegungen erforderlich:

• Erstellen Sie Dienstkonten in benutzerdefinierten Organisationseinheiten (OEs) in der verwalteten Domäne.
  • In den integrierten Organisationseinheiten AADDC Users und AADDC Computers können Sie keine Dienstkonten erstellen.
  • Erstellen Sie stattdessen eine benutzerdefinierte Organisationseinheit in der verwalteten Domäne, und erstellen Sie anschließend die Dienstkonten in dieser benutzerdefinierten Organisationseinheit.
• Der Stammschlüssel der Schlüsselverteilungsdienste (Key Distribution Services, KDS) wird vorab erstellt.
  • Der KDS-Stammschlüssel wird zum Generieren und Abrufen von Kennwörtern für gMSAs verwendet. In Domain Services wird der KDS-Stamm für Sie erstellt.
  • Sie haben keine Berechtigungen zum Erstellen eines anderen KDS-Stammschlüssels und können auch den Standardschlüssel nicht anzeigen.

Erstellen eines gruppenverwalteten Dienstkontos (gMSA)

Erstellen Sie zunächst mithilfe des Cmdlets New-ADOrganizationalUnit eine benutzerdefinierte Organisationseinheit. Weitere Informationen zum Erstellen und Verwalten von benutzerdefinierten Organisationseinheiten finden Sie unter Benutzerdefinierte Organisationseinheiten in Domain Services.

Tipp

Führen Sie diese Schritte zum Erstellen eines gMSA auf Ihrer Verwaltungs-VM aus. Diese Verwaltungs-VM muss bereits über die erforderlichen AD PowerShell-Cmdlets und eine Verbindung mit der verwalteten Domäne verfügen.

Im folgenden Beispiel wird eine benutzerdefinierte Organisationseinheit namens myNewOU in der verwalteten Domäne namens aaddscontoso.com erstellt. Verwenden Sie Ihre eigene Organisationseinheit und den Namen der verwalteten Domäne:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Erstellen Sie nun mit dem Cmdlet New-ADServiceAccount ein gMSA. Als Beispiel werden die folgenden Parameter definiert:

• -Name = WebFarmSvc
• -Path: Dieser Parameter gibt die benutzerdefinierte Organisationseinheit für das gMSA an, das im vorherigen Schritt erstellt wurde.
• DNS-Einträge und Dienstprinzipalnamen werden für WebFarmSvc.aaddscontoso.com festgelegt.
• Prinzipale in AADDSCONTOSO-SERVER$ dürfen das Kennwort abrufen und die Identität verwenden.

Geben Sie Ihre eigenen Namen und Domänennamen an.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Anwendungen und Dienste können jetzt so konfiguriert werden, dass Sie bei Bedarf das gMSA verwenden.

Nächste Schritte

Weitere Informationen zu gMSAs finden Sie unter Erste Schritte mit gruppenverwalteten Dienstkonten.