Freigeben über


Konfigurieren der eingeschränkten Kerberos-Delegierung (KCD) in Microsoft Entra Domain Services

Beim Ausführen von Anwendungen ist es möglicherweise erforderlich, dass diese Anwendungen im Kontext eines anderen Benutzers auf Ressourcen zugreifen können. Active Directory Domain Services (AD DS) unterstützt einen Mechanismus namens Kerberos-Delegierung , der diesen Anwendungsfall ermöglicht. Die Kerberos-eingeschränkte Delegierung (KCD) baut anschließend auf diesem Mechanismus auf, um bestimmte Ressourcen zu definieren, auf die im Kontext des Benutzers zugegriffen werden kann.

Verwaltete Domänen von Microsoft Entra Domain Services sind sicherer als herkömmliche lokale AD DS-Umgebungen, daher verwenden Sie eine sicherere ressourcenbasierte KCD.

In diesem Artikel erfahren Sie, wie Sie ressourcenbasierte kerberos-eingeschränkte Delegierung in einer verwalteten Domäne der Domänendienste konfigurieren.

Voraussetzungen

Damit Sie die Anweisungen in diesem Artikel ausführen können, benötigen Sie folgende Ressourcen:

Übersicht über die eingeschränkte Kerberos-Delegierung

Die Kerberos-Delegierung ermöglicht einem Konto, für den Zugriff auf Ressourcen die Identität eines anderen Kontos anzunehmen. Beispielsweise kann eine Webanwendung, die auf eine Back-End-Webkomponente zugreift, sich selbst als ein anderes Benutzerkonto imitieren, wenn die Back-End-Verbindung hergestellt wird. Die Kerberos-Delegierung ist unsicher, da sie nicht einschränkt, auf welche Ressourcen das nachahmende Konto zugreifen kann.

Eingeschränkte Kerberos-Delegierung (KCD) beschränkt die Dienste oder Ressourcen, auf die ein angegebener Server oder eine bestimmte Anwendung zugreifen darf, wenn eine andere Identität nachgeahmt wird. Herkömmliche KCD erfordert Domänenadministratorberechtigungen zum Konfigurieren eines Domänenkontos für einen Dienst und schränkt das Konto auf die Ausführung in einer einzelnen Domäne ein.

Traditionelle KCD hat auch einige Probleme. Beispielsweise hatte der Dienstadministrator in früheren Betriebssystemen keine nützliche Möglichkeit, zu wissen, welche Front-End-Dienste an die Ressourcendienste delegiert wurden, die sie besitzen. Jeder Front-End-Dienst, der an einen Ressourcendienst delegiert werden konnte, war ein potenzieller Angriffspunkt. Wenn ein Server, der einen Front-End-Dienst gehostet hat, der für die Stellvertretung an Ressourcendienste konfiguriert wurde, kompromittiert wurde, können die Ressourcendienste ebenfalls kompromittiert werden.

In einer verwalteten Domäne verfügen Sie nicht über Domänenadministratorberechtigungen. Daher können herkömmliche kontobasierte KCD nicht in einer verwalteten Domäne konfiguriert werden. Ressourcenbasierte KCD kann stattdessen verwendet werden, was zudem sicherer ist.

Ressourcenbasierte KCD

Windows Server 2012 und höher bietet Dienstadministratoren die Möglichkeit, eingeschränkte Delegierung für ihren Dienst zu konfigurieren. Dieses Modell wird als ressourcenbasierte kCD bezeichnet. Mit diesem Ansatz kann der Back-End-Dienstadministrator bestimmte Front-End-Dienste mithilfe von KCD zulassen oder verweigern.

Die ressourcenbasierte KCD wird mithilfe von PowerShell konfiguriert. Sie verwenden das Cmdlet Set-ADComputer oder Set-ADUser, je nachdem, ob es sich beim Konto für den Identitätswechsel um ein Computerkonto oder ein Benutzerkonto/Dienstkonto handelt.

Konfigurieren der ressourcenbasierten KCD für ein Computerkonto

In diesem Szenario gehen wir davon aus, dass Sie über eine Web-App verfügen, die auf dem Computer mit dem Namen contoso-webapp.aaddscontoso.com ausgeführt wird.

Die Web-App muss auf eine Web-API zugreifen, die auf dem Computer mit dem Namen contoso-api.aaddscontoso.com im Kontext von Domänenbenutzern ausgeführt wird.

Führen Sie die folgenden Schritte aus, um dieses Szenario zu konfigurieren:

  1. Erstellen Sie eine benutzerdefinierte Organisationseinheit. Sie können Berechtigungen zum Verwalten dieser benutzerdefinierten Organisationseinheit an Benutzer innerhalb der verwalteten Domäne delegieren.

  2. Binden Sie die virtuellen Computer (den Computer, auf dem die Web-App ausgeführt wird, und den Computer, auf dem die Web-API ausgeführt wird) in die verwaltete Domäne ein. Erstellen Sie diese Computerkonten in der benutzerdefinierten Organisationseinheit (OE) aus dem vorherigen Schritt.

    Hinweis

    Die Computerkonten für die Web-App und die Web-API müssen sich in einer benutzerdefinierten OU befinden, in der Sie über Berechtigungen zum Konfigurieren ressourcenbasierter KCD verfügen. Im integrierten Container Microsoft Entra DC Computers können Sie keine ressourcenbasierte KCD für ein Computerkonto konfigurieren.

  3. Konfigurieren Sie schließlich die ressourcenbasierte KCD mithilfe des PowerShell-Cmdlets Set-ADComputer.

    Melden Sie sich mit einem Benutzerkonto an, das Mitglied der Gruppe Microsoft Entra DC-Administrierende ist, und führen Sie auf Ihrem in die Domäne eingebundenen virtuellen Verwaltungscomputer die folgenden Cmdlets aus. Geben Sie bei Bedarf eigene Computernamen an:

    $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
    Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
    

Konfigurieren der ressourcenbasierten KCD für ein Benutzerkonto

In diesem Szenario gehen wir davon aus, dass Sie über eine Web-App verfügen, die als Dienstkonto mit dem Namen "appsvc" ausgeführt wird. Die Web-App muss auf eine Web-API zugreifen, die als Dienstkonto namens Back-Endsvc im Kontext von Domänenbenutzern ausgeführt wird. Führen Sie die folgenden Schritte aus, um dieses Szenario zu konfigurieren:

  1. Erstellen Sie eine benutzerdefinierte Organisationseinheit. Sie können Berechtigungen zum Verwalten dieser benutzerdefinierten Organisationseinheit an Benutzer innerhalb der verwalteten Domäne delegieren.

  2. Fügen Sie die virtuellen Maschinen, die die Back-End-Web-API/-Ressource ausführen, der verwalteten Domäne hinzu. Erstellen Sie das zugehörige Computerkonto innerhalb der benutzerdefinierten OE.

  3. Erstellen Sie das Dienstkonto (z. B. Appsvc), das zum Ausführen der Web-App innerhalb der benutzerdefinierten OE verwendet wird.

    Hinweis

    Auch hier muss sich das Computerkonto für die Web-API-VM und das Dienstkonto für die Web-App in einer benutzerdefinierten OU befinden, in der Sie über Berechtigungen zum Konfigurieren der ressourcenbasierten KCD verfügen. Sie können keine ressourcenbasierte KCD für Konten in den integrierten Microsoft Entra DC-Computern oder Microsoft Entra DC-Benutzercontainern konfigurieren. Dies bedeutet auch, dass Sie keine Benutzerkonten verwenden können, die mit der Microsoft Entra-ID synchronisiert wurden, um ressourcenbasierte KCD einzurichten. Sie müssen Dienstkonten erstellen und verwenden, die speziell in Domänendiensten erstellt wurden.

  4. Konfigurieren Sie abschließend die ressourcenbasierte KCD mit dem PowerShell-Cmdlet Set-ADUser.

    Melden Sie sich mit einem Benutzerkonto an, das Mitglied der Gruppe Microsoft Entra DC-Administrierende ist, und führen Sie auf Ihrem in die Domäne eingebundenen virtuellen Verwaltungscomputer die folgenden Cmdlets aus. Stellen Sie bei Bedarf eigene Dienstnamen bereit:

    $ImpersonatingAccount = Get-ADUser -Identity appsvc
    Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
    

Nächste Schritte

Weitere Informationen zur Funktionsweise der Delegierung in Active Directory Domain Services finden Sie unter Kerberos-Eingeschränkte Delegierung ( Übersicht).