Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Anwendungen und Dienste benötigen häufig eine Identität, um sich mit anderen Ressourcen zu authentifizieren. Ein Webdienst muss sich z. B. möglicherweise bei einem Datenbankdienst authentifizieren. Wenn eine Anwendung oder ein Dienst über mehrere Instanzen verfügt, z. B. eine Webserverfarm, wird das manuelle Erstellen und Konfigurieren der Identitäten für diese Ressourcen zeitaufwändig.
Stattdessen kann ein gruppenverwaltetes Dienstkonto (gMSA) in der verwalteten Domäne von Microsoft Entra Domain Services erstellt werden. Das Windows-Betriebssystem verwaltet automatisch die Anmeldeinformationen für eine gMSA, wodurch die Verwaltung großer Ressourcengruppen vereinfacht wird.
In diesem Artikel erfahren Sie, wie Sie eine gMSA in einer verwalteten Domäne mithilfe von Azure PowerShell erstellen.
Bevor Sie anfangen
Um diesen Artikel abzuschließen, benötigen Sie die folgenden Ressourcen und Berechtigungen:
- Ein aktives Azure-Abonnement.
- Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto.
- Ein Microsoft Entra-Mandant, der Ihrem Abonnement zugeordnet ist und entweder mit einem lokalen Verzeichnis oder einem reinen Cloud-Verzeichnis synchronisiert ist.
- Eine verwaltete Domäne von Microsoft Entra Domain Services ist in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert.
- Führen Sie bei Bedarf das Lernprogramm aus, um eine verwaltete Domäne von Microsoft Entra Domain Services zu erstellen und zu konfigurieren.
- Eine Windows Server-Verwaltungs-VM, die in die verwaltete Domain Services-Domäne eingebunden ist.
- Bei Bedarf führen Sie das Tutorial zum Erstellen einer Verwaltungs-VM aus.
Übersicht über verwaltete Dienstkonten
Ein eigenständiges verwaltetes Dienstkonto (sMSA) ist ein Domänenkonto, dessen Kennwort automatisch verwaltet wird. Dieser Ansatz vereinfacht die Verwaltung von Dienstprinzipalnamen (SPN) und ermöglicht die delegierte Verwaltung für andere Administratoren. Sie müssen keine Anmeldeinformationen für das Konto manuell erstellen und wechseln.
Ein gruppenverwaltetes Dienstkonto (gMSA) bietet die gleiche Verwaltungserleichterung, aber für mehrere Server in der Domäne. Mit einem gMSA können alle Instanzen eines in einer Serverfarm gehosteten Diensts den gleichen Dienstprinzipal verwenden, damit Protokolle für die gegenseitige Authentifizierung funktionieren. Wenn ein gMSA als Dienstprinzipal verwendet wird, verwaltet das Windows-Betriebssystem das Kennwort des Kontos erneut, anstatt sich auf den Administrator zu verlassen.
Weitere Informationen finden Sie in der Übersicht über gruppenverwaltete Dienstkonten (gMSA).
Verwenden von Dienstkonten in Domänendiensten
Da verwaltete Domänen von Microsoft gesperrt und verwaltet werden, gibt es einige Überlegungen bei der Verwendung von Dienstkonten:
- Erstellen Sie Dienstkonten in benutzerdefinierten Organisationseinheiten (OU) in der verwalteten Domäne.
- Sie können kein Dienstkonto in den integrierten OUs AADDC-Benutzer oder AADDC-Computer erstellen.
- Erstellen Sie stattdessen eine benutzerdefinierte OU in der verwalteten Domäne, und erstellen Sie dann Dienstkonten in dieser benutzerdefinierten OU.
- Der Stammschlüssel der Schlüsselverteilungsdienste (KDS, Key Distribution Services) wird vorab erstellt.
- Der KDS-Stammschlüssel wird verwendet, um Kennwörter für GMSAs zu generieren und abzurufen. In Domain Services wird der KDS-Stamm für Sie erstellt.
- Sie verfügen nicht über die Berechtigungen, um einen anderen KDS-Stammschlüssel zu erstellen oder den Standard-KDS-Stammschlüssel anzuzeigen.
Erstellen eines gMSA
Erstellen Sie zunächst eine benutzerdefinierte OU mit dem Cmdlet New-ADOrganizationalUnit . Weitere Informationen zum Erstellen und Verwalten von benutzerdefinierten OUs finden Sie unter Benutzerdefinierte OUs in Domänendiensten.
Tipp
Um diese Schritte zum Erstellen eines gMSA auszuführen, verwenden Sie Ihre Verwaltungs-VM. Diese Verwaltungs-VM sollte bereits über die erforderlichen AD PowerShell-Cmdlets und die Verbindung mit der verwalteten Domäne verfügen.
Im folgenden Beispiel wird eine benutzerdefinierte OU namens myNewOU in der verwalteten Domäne namens aaddscontoso.com erstellt. Verwenden Sie Ihre eigene organisatorische Einheit (OU) und Ihren verwalteten Domänennamen:
New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"
Erstellen Sie nun ein gMSA mithilfe des Cmdlets "New-ADServiceAccount" . Die folgenden Beispielparameter sind definiert:
- -Name ist auf "WebFarmSvc" festgelegt.
- -Path-Parameter gibt die für die gMSA benutzerdefinierte OU an, die im vorherigen Schritt erstellt wurde.
- DNS-Einträge und Dienstprinzipalnamen werden für WebFarmSvc.aaddscontoso.com festgelegt.
- Prinzipale in AADDSCONTOSO-SERVER$ dürfen das Kennwort abrufen und die Identität verwenden.
Geben Sie Ihre eigenen Namen und Domänennamen an.
New-ADServiceAccount -Name WebFarmSvc `
-DNSHostName WebFarmSvc.aaddscontoso.com `
-Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
-KerberosEncryptionType AES128, AES256 `
-ManagedPasswordIntervalInDays 30 `
-ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
http/WebFarmSvc/aaddscontoso.com, `
http/WebFarmSvc/aaddscontoso `
-PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$
Anwendungen und Dienste können jetzt so konfiguriert werden, dass die gMSA bei Bedarf verwendet wird.
Nächste Schritte
Weitere Informationen zu gMSAs finden Sie unter "Erste Schritte mit gruppenverwalteten Dienstkonten".