Gruppenverwaltete Dienstkonten: Übersicht
Betrifft: Windows Server 2012 R2, Windows Server 2012
In diesem Thema für IT-Spezialisten wird das gruppenverwaltete Dienstkonto eingeführt. Hierzu werden praktische Anwendungen, Änderungen in der Implementierung von Microsoft, Hard- und Softwareanforderungen sowie zusätzliche Ressourcen für Windows Server 2012 beschrieben.
Meinten Sie…
Managed Service Accounts (eigenständig)
Featurebeschreibung
Eigenständige verwaltete Dienstkonten, die in Windows Server 2008 R2 und Windows 7 eingeführt wurden, sind verwaltete Domänenkonten, die eine automatische Kennwortverwaltung sowie eine vereinfachte Verwaltung von Dienstprinzipalnamen (Service Principal Names, SPNs) ermöglichen – einschließlich Delegierung der Verwaltung an andere Administratoren.
Das gruppenverwaltete Dienstkonto bietet die gleiche Funktionalität innerhalb der Domäne, weitet diese Funktionalität jedoch zudem auf mehrere Server aus. Beim Herstellen einer Verbindung mit einem Dienst, der in einer Serverfarm gehostet wird (beispielsweise ein Netzwerklastenausgleich), erfordern die Authentifizierungsprotokolle mit gegenseitiger Authentifizierung, dass alle Instanzen der Dienste den gleichen Prinzipal verwenden. Falls gruppenverwaltete Dienstkonten als Dienstprinzipale verwendet werden, wird das Kennwort für das Konto vom Windows-Betriebssystem verwaltet, anstatt die Kennwortverwaltung dem Administrator zu überlassen.
Der Microsoft-Schlüsselverteilungsdienst ("kdssvc.dll") stellt den Mechanismus zum sicheren Abrufen des aktuellen Schlüssels oder eines bestimmten Schlüssels mit einer Schlüssel-ID für ein Active Directory-Konto bereit. Dieser Dienst ist neu in Windows Server 2012 und kann unter älteren Versionen des Windows Server-Betriebssystems nicht ausgeführt werden. Vom Schlüsselverteilungsdienst werden geheime Informationen zur Erstellung von Schlüsseln für das Konto bereitgestellt. Diese Schlüssel werden regelmäßig geändert. Bei einem gruppenverwalteten Dienstkonto berechnet der Windows Server 2012-Domänencontroller das Kennwort für den vom Schlüsselverteilungsdienst angegebenen Schlüssel – genau wie andere Attribute des gruppenverwalteten Dienstkontos. Aktuelle und ältere Kennwortwerte können von Windows Server 2012- und Windows 8-Mitgliedshosts durch Kontaktieren eines Windows Server 2012-Domänencontrollers abgerufen werden.
Praktische Anwendung
Gruppenverwaltete Dienstkonten bieten eine Einzelidentitätslösung für Dienste, die in einer Serverfarm oder auf Systemen hinter einem Netzwerklastenausgleich ausgeführt werden. Indem eine Lösung für gruppenverwaltete Dienstkonten (Gruppen-MSA-Lösung) bereitgestellt wird, können Dienste für den neuen Gruppen-MSA-Prinzipal konfiguriert werden, während die Kennwortverwaltung von Windows übernommen wird.
Bei Verwendung eines gruppenverwalteten Dienstkontos brauchen Dienste oder Dienstadministratoren keine Kennwortsynchronisierung zwischen Dienstinstanzen zu verwalten. Das gruppenverwaltete Dienstkonto unterstützt Hosts, die über einen längeren Zeitraum offline sind, sowie die Verwaltung von Mitgliedshosts für alle Instanzen eines Diensts. Sie können also eine Serverfarm bereitstellen, die eine einzelne Identität unterstützt, gegenüber der sich vorhandene Clientcomputer authentifizieren können, ohne zu wissen, mit welcher Instanz des Diensts eine Verbindung hergestellt wird.
Failovercluster unterstützen keine gruppenverwalteten Dienstkonten. Dienste, die oben im Clusterdienst ausgeführt werden, können jedoch ein gMSA oder sMSA verwenden, wenn sie ein Windows-Dienst, ein App-Pool, eine geplante Aufgabe oder gMSA oder sMSA systemeigen unterstützen.
Neue und geänderte Funktionalität
In der folgenden Tabelle sind die Änderungen des MSA-Features aufgeführt.
Feature/Funktionalität |
Windows Server 2008 R2 |
Windows Server 2012 |
|---|---|---|
Konten virtueller Computer |
X |
X |
Verwaltete Dienstkonten |
X |
X |
Gruppenverwaltete Dienstkonten |
X |
|
Windows PowerShell-Cmdlets |
X |
X |
Weitere Informationen zu diesen Funktionsänderungen für MSA finden Sie unter Neues für verwaltete Dienstkonten.
Veraltete Funktionen
In Windows Server 2012 werden die Windows PowerShell-Cmdlets standardmäßig für die Verwaltung der gruppenverwalteten Dienstkonten anstatt für die ursprünglichen eigenständigen Dienstkonten verwendet.
Softwareanforderungen
Verwaltete Dienstkonten (und virtuelle Computerkonten) gelten sowohl für Windows Server 2008 R2 als auch für Windows Server 2012. Gruppenverwaltete Dienstkonten können nur auf Computern unter Windows Server 2012 konfiguriert und verwaltet werden. Sie können jedoch als Lösung mit einzelner Dienstidentität in Domänen bereitgestellt werden, in denen noch Domänencontroller unter Betriebssystemen vor Windows Server 2012 vorhanden sind. Auf Domänen- oder Gesamtstrukturfunktionsebene gelten keine Anforderungen.
Zum Ausführen der Windows PowerShell-Befehle ist eine 64-Bit-Architektur erforderlich, die zum Verwalten von gruppenverwalteten Dienstkonten (group Managed Service Accounts, gMSA) verwendet werden.
Ein verwaltetes Dienstkonto ist abhängig von Verschlüsselungstypen mit Kerberos-Unterstützung. Wenn sich ein Clientcomputer gegenüber einem Server per Kerberos authentifiziert, wird vom Domänencontroller ein Kerberos-Dienstticket erstellt, das mit einer Verschlüsselung geschützt ist, die sowohl vom Domänencontroller als auch vom Server unterstützt wird. Die vom Server unterstützte Verschlüsselung wird vom Domänencontroller anhand des msDS-SupportedEncryptionTypes-Attributs des Kontos ermittelt. Sollte kein Attribut vorhanden sein, wird davon ausgegangen, dass vom Clientcomputer keine sichereren Verschlüsselungsarten unterstützt werden. Wird RC4 aufgrund der Konfiguration des Windows Server 2012-Hosts nicht unterstützt, tritt bei der Authentifizierung immer ein Fehler auf. Aus diesem Grund muss AES für verwaltete Dienstkonten immer explizit konfiguriert sein.
Hinweis
Ab Windows Server 2008 R2 ist DES standardmäßig deaktiviert. Weitere Informationen zu den unterstützten Verschlüsselungsarten finden Sie unter Changes in Kerberos Authentication.
Gruppenverwaltete Dienstkonten sind für Windows-Betriebssysteme vor Windows Server 2012 nicht verfügbar.
Informationen zum Server-Manager
Es sind keine Konfigurationsschritte erforderlich, um (gruppen-)verwaltete Dienstkonten mit dem Server-Manager oder dem Cmdlet "Install-WindowsFeature" zu implementieren.
Siehe auch
In der folgenden Tabelle sind Links zu weiterführenden Ressourcen im Zusammenhang mit verwalteten Dienstkonten und gruppenverwalteten Dienstkonten aufgeführt.
Inhaltstyp |
Verweise |
|---|---|
Produktbewertung |
Neues für verwaltete Dienstkonten Dokumentation zu verwalteten Dienstkonten für Windows 7 und Windows Server 2008 R2 Schrittweise Anleitung zu Dienstkonten (möglicherweise in englischer Sprache) |
Planen |
Noch nicht verfügbar |
Bereitstellung |
Noch nicht verfügbar |
Betrieb |
|
Problembehandlung |
Noch nicht verfügbar |
Bewertung |
|
Tools und Einstellungen |
|
Communityressourcen |
Verwaltete Dienstkonten: Grundlegendes, Implementierung, bewährte Methoden und Problembehandlung |
Verwandte Technologien |