Konfigurieren der eingeschränkten Kerberos-Delegierung (KCD) in Microsoft Entra Domain Services

Beim Ausführen von Anwendungen ist es möglicherweise erforderlich, dass diese Anwendungen im Kontext eines anderen Benutzers auf Ressourcen zugreifen können. Active Directory Domain Services (AD DS) unterstützt einen Mechanismus namens Kerberos-Delegierung , der diesen Anwendungsfall ermöglicht. Die Kerberos-eingeschränkte Delegierung (KCD) baut anschließend auf diesem Mechanismus auf, um bestimmte Ressourcen zu definieren, auf die im Kontext des Benutzers zugegriffen werden kann.

Verwaltete Domänen von Microsoft Entra Domain Services sind sicherer als herkömmliche lokale AD DS-Umgebungen, daher verwenden Sie eine sicherere ressourcenbasierte KCD.

In diesem Artikel erfahren Sie, wie Sie ressourcenbasierte kerberos-eingeschränkte Delegierung in einer verwalteten Domäne der Domänendienste konfigurieren.

Voraussetzungen

Damit Sie die Anweisungen in diesem Artikel ausführen können, benötigen Sie folgende Ressourcen:

• Ein aktives Azure-Abonnement.
  • Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto.
• Ein Microsoft Entra-Mandant, der Ihrem Abonnement zugeordnet ist und entweder mit einem lokalen Verzeichnis oder einem reinen Cloud-Verzeichnis synchronisiert ist.
  • Erstellen Sie bei Bedarf einen Microsoft Entra-Mandanten, oder ordnen Sie Ihrem Konto ein Azure-Abonnement zu.
• Eine verwaltete Domäne von Microsoft Entra Domain Services ist in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert.
  • Falls erforderlich, eine von Microsoft Entra Domain Services verwaltete Domäneerstellen und konfigurieren.
• Eine Windows Server-Verwaltungs-VM, die in die verwaltete Domain Services-Domäne eingebunden ist.
  • Führen Sie bei Bedarf das Lernprogramm aus, um eine Windows Server-VM zu erstellen und sie einer verwalteten Domäne beizutreten , und installieren Sie dann die AD DS-Verwaltungstools.
• Ein Benutzerkonto, das Mitglied der Microsoft Entra DC-Administratorgruppe in Ihrem Microsoft Entra-Mandanten ist.

Übersicht über die eingeschränkte Kerberos-Delegierung

Die Kerberos-Delegierung ermöglicht einem Konto, für den Zugriff auf Ressourcen die Identität eines anderen Kontos anzunehmen. Beispielsweise kann eine Webanwendung, die auf eine Back-End-Webkomponente zugreift, sich selbst als ein anderes Benutzerkonto imitieren, wenn die Back-End-Verbindung hergestellt wird. Die Kerberos-Delegierung ist unsicher, da sie nicht einschränkt, auf welche Ressourcen das nachahmende Konto zugreifen kann.

Eingeschränkte Kerberos-Delegierung (KCD) beschränkt die Dienste oder Ressourcen, auf die ein angegebener Server oder eine bestimmte Anwendung zugreifen darf, wenn eine andere Identität nachgeahmt wird. Herkömmliche KCD erfordert Domänenadministratorberechtigungen zum Konfigurieren eines Domänenkontos für einen Dienst und schränkt das Konto auf die Ausführung in einer einzelnen Domäne ein.

Traditionelle KCD hat auch einige Probleme. Beispielsweise hatte der Dienstadministrator in früheren Betriebssystemen keine nützliche Möglichkeit, zu wissen, welche Front-End-Dienste an die Ressourcendienste delegiert wurden, die sie besitzen. Jeder Front-End-Dienst, der an einen Ressourcendienst delegiert werden konnte, war ein potenzieller Angriffspunkt. Wenn ein Server, der einen Front-End-Dienst gehostet hat, der für die Stellvertretung an Ressourcendienste konfiguriert wurde, kompromittiert wurde, können die Ressourcendienste ebenfalls kompromittiert werden.

In einer verwalteten Domäne verfügen Sie nicht über Domänenadministratorberechtigungen. Daher können herkömmliche kontobasierte KCD nicht in einer verwalteten Domäne konfiguriert werden. Ressourcenbasierte KCD kann stattdessen verwendet werden, was zudem sicherer ist.

Ressourcenbasierte KCD

Windows Server 2012 und höher bietet Dienstadministratoren die Möglichkeit, eingeschränkte Delegierung für ihren Dienst zu konfigurieren. Dieses Modell wird als ressourcenbasierte kCD bezeichnet. Mit diesem Ansatz kann der Back-End-Dienstadministrator bestimmte Front-End-Dienste mithilfe von KCD zulassen oder verweigern.

Die ressourcenbasierte KCD wird mithilfe von PowerShell konfiguriert. Sie verwenden das Cmdlet Set-ADComputer oder Set-ADUser, je nachdem, ob es sich beim Konto für den Identitätswechsel um ein Computerkonto oder ein Benutzerkonto/Dienstkonto handelt.

Konfigurieren der ressourcenbasierten KCD für ein Computerkonto

In diesem Szenario gehen wir davon aus, dass Sie über eine Web-App verfügen, die auf dem Computer mit dem Namen contoso-webapp.aaddscontoso.com ausgeführt wird.

Die Web-App muss auf eine Web-API zugreifen, die auf dem Computer mit dem Namen contoso-api.aaddscontoso.com im Kontext von Domänenbenutzern ausgeführt wird.

Führen Sie die folgenden Schritte aus, um dieses Szenario zu konfigurieren:

1. Erstellen Sie eine benutzerdefinierte Organisationseinheit. Sie können Berechtigungen zum Verwalten dieser benutzerdefinierten Organisationseinheit an Benutzer innerhalb der verwalteten Domäne delegieren.

2. Binden Sie die virtuellen Computer (den Computer, auf dem die Web-App ausgeführt wird, und den Computer, auf dem die Web-API ausgeführt wird) in die verwaltete Domäne ein. Erstellen Sie diese Computerkonten in der benutzerdefinierten Organisationseinheit (OE) aus dem vorherigen Schritt.

   Hinweis

   Die Computerkonten für die Web-App und die Web-API müssen sich in einer benutzerdefinierten OU befinden, in der Sie über Berechtigungen zum Konfigurieren ressourcenbasierter KCD verfügen. Im integrierten Container Microsoft Entra DC Computers können Sie keine ressourcenbasierte KCD für ein Computerkonto konfigurieren.

3. Konfigurieren Sie schließlich die ressourcenbasierte KCD mithilfe des PowerShell-Cmdlets Set-ADComputer.

   Melden Sie sich mit einem Benutzerkonto an, das Mitglied der Gruppe Microsoft Entra DC-Administrierende ist, und führen Sie auf Ihrem in die Domäne eingebundenen virtuellen Verwaltungscomputer die folgenden Cmdlets aus. Geben Sie bei Bedarf eigene Computernamen an:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Konfigurieren der ressourcenbasierten KCD für ein Benutzerkonto

In diesem Szenario gehen wir davon aus, dass Sie über eine Web-App verfügen, die als Dienstkonto mit dem Namen "appsvc" ausgeführt wird. Die Web-App muss auf eine Web-API zugreifen, die als Dienstkonto namens Back-Endsvc im Kontext von Domänenbenutzern ausgeführt wird. Führen Sie die folgenden Schritte aus, um dieses Szenario zu konfigurieren:

1. Erstellen Sie eine benutzerdefinierte Organisationseinheit. Sie können Berechtigungen zum Verwalten dieser benutzerdefinierten Organisationseinheit an Benutzer innerhalb der verwalteten Domäne delegieren.

2. Fügen Sie die virtuellen Maschinen, die die Back-End-Web-API/-Ressource ausführen, der verwalteten Domäne hinzu. Erstellen Sie das zugehörige Computerkonto innerhalb der benutzerdefinierten OE.

3. Erstellen Sie das Dienstkonto (z. B. Appsvc), das zum Ausführen der Web-App innerhalb der benutzerdefinierten OE verwendet wird.

   Hinweis

   Auch hier muss sich das Computerkonto für die Web-API-VM und das Dienstkonto für die Web-App in einer benutzerdefinierten OU befinden, in der Sie über Berechtigungen zum Konfigurieren der ressourcenbasierten KCD verfügen. Sie können keine ressourcenbasierte KCD für Konten in den integrierten Microsoft Entra DC-Computern oder Microsoft Entra DC-Benutzercontainern konfigurieren. Dies bedeutet auch, dass Sie keine Benutzerkonten verwenden können, die mit der Microsoft Entra-ID synchronisiert wurden, um ressourcenbasierte KCD einzurichten. Sie müssen Dienstkonten erstellen und verwenden, die speziell in Domänendiensten erstellt wurden.

4. Konfigurieren Sie abschließend die ressourcenbasierte KCD mit dem PowerShell-Cmdlet Set-ADUser.

   Melden Sie sich mit einem Benutzerkonto an, das Mitglied der Gruppe Microsoft Entra DC-Administrierende ist, und führen Sie auf Ihrem in die Domäne eingebundenen virtuellen Verwaltungscomputer die folgenden Cmdlets aus. Stellen Sie bei Bedarf eigene Dienstnamen bereit:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Nächste Schritte

Weitere Informationen zur Funktionsweise der Delegierung in Active Directory Domain Services finden Sie unter Kerberos-Eingeschränkte Delegierung ( Übersicht).