Group Managed Service Accounts Overview

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema für it-Experten wird das Gruppen-Managed Service-Konto vorgestellt, indem praktische Anwendungen, Änderungen an der Implementierung von Microsoft sowie Hardware- und Softwareanforderungen beschrieben werden.

Featurebeschreibung

Ein eigenständiges Verwaltetes Dienstkonto (sMSA) ist ein verwaltetes Domänenkonto, das automatische Kennwortverwaltung, vereinfachte Dienstprinzipalnamen (SPN)-Verwaltung und die Möglichkeit zum Delegieren der Verwaltung an andere Administratoren bereitstellt. Diese Art von verwaltetem Dienstkonto (Managed Service Account, MSA) wurde in Windows Server 2008 R2 und Windows 7 eingeführt.

Das gruppenverwaltete Dienstkonto (gMSA) bietet dieselbe Funktionalität innerhalb der Domäne, erweitert aber auch diese Funktionalität über mehrere Server. Beim Herstellen einer Verbindung mit einem Dienst, der in einer Serverfarm gehostet wird, z. B. netzwerklastenausgleichslösung, müssen die Authentifizierungsprotokolle, die die gegenseitige Authentifizierung unterstützen, alle Instanzen der Dienste denselben Prinzipal verwenden. Wenn ein gMSA als Dienstprinzipale verwendet wird, verwaltet das Windows Betriebssystem das Kennwort für das Konto, anstatt auf den Administrator zu vertrauen, um das Kennwort zu verwalten.

Der Microsoft-Schlüsselverteilungsdienst (%%amp;quot;kdssvc.dll%%amp;quot;) stellt den Mechanismus zum sicheren Abrufen des aktuellen Schlüssels oder eines bestimmten Schlüssels mit einer Schlüssel-ID für ein Active Directory-Konto bereit. Vom Schlüsselverteilungsdienst werden geheime Informationen zur Erstellung von Schlüsseln für das Konto bereitgestellt. Diese Schlüssel werden regelmäßig geändert. Für einen gMSA berechnet der Domänencontroller das Kennwort für den Schlüssel, der von den Key Distribution Services bereitgestellt wird, zusätzlich zu anderen Attributen der gMSA. Memberhosts können die aktuellen und vorherigen Kennwortwerte abrufen, indem Sie einen Domänencontroller kontaktieren.

Praktische Anwendung

gMSAs stellen eine einzelne Identitätslösung für Dienste bereit, die auf einer Serverfarm oder auf Systemen hinter Network Load Balancer ausgeführt werden. Durch die Bereitstellung einer gMSA-Lösung können Dienste für den neuen gMSA-Prinzipal konfiguriert werden und die Kennwortverwaltung wird von Windows behandelt.

Die Verwendung von gMSA, Diensten oder Dienstadministratoren muss die Kennwortsynchronisierung zwischen Dienstinstanzen nicht verwalten. Die gMSA unterstützt Hosts, die für einen längeren Zeitraum offline gehalten werden, und die Verwaltung von Memberhosts für alle Instanzen eines Diensts. Sie können also eine Serverfarm bereitstellen, die eine einzelne Identität unterstützt, gegenüber der sich vorhandene Clientcomputer authentifizieren können, ohne zu wissen, mit welcher Instanz des Diensts eine Verbindung hergestellt wird.

Failovercluster unterstützen keine gruppenverwalteten Dienstkonten. Dienste, die oben im Clusterdienst ausgeführt werden, können jedoch ein gMSA oder sMSA verwenden, wenn sie ein Windows-Dienst, ein App-Pool, eine geplante Aufgabe oder gMSA oder sMSA systemeigen unterstützen.

Softwareanforderungen

Eine 64-Bit-Architektur ist erforderlich, um die Windows PowerShell Befehle auszuführen, die zum Verwalten von gMSAs verwendet werden.

Ein verwaltetes Dienstkonto ist abhängig von Verschlüsselungstypen mit Kerberos-Unterstützung. Wenn sich ein Clientcomputer gegenüber einem Server per Kerberos authentifiziert, wird vom Domänencontroller ein Kerberos-Dienstticket erstellt, das mit einer Verschlüsselung geschützt ist, die sowohl vom Domänencontroller als auch vom Server unterstützt wird. Der DC verwendet das MsDS-SupportedEncryptionTypes-Attribut des Kontos, um zu bestimmen, welche Verschlüsselung der Server unterstützt, und wenn kein Attribut vorhanden ist, wird davon ausgegangen, dass der Clientcomputer keine stärkeren Verschlüsselungstypen unterstützt. Wenn der Host so konfiguriert ist, dass RC4 nicht unterstützt wird, schlägt die Authentifizierung immer fehl. Aus diesem Grund muss AES für verwaltete Dienstkonten immer explizit konfiguriert sein.

Hinweis

Ab Windows Server 2008 R2 ist DES standardmäßig deaktiviert. Weitere Informationen zu den unterstützten Verschlüsselungsarten finden Sie unter Changes in Kerberos Authentication.

gMSAs gelten nicht für Windows Betriebssysteme vor Windows Server 2012.

Informationen zum Server-Manager

Es sind keine Konfigurationsschritte erforderlich, um MSA und gMSA mithilfe von Server-Manager oder dem Cmdlet Install-WindowsFeature zu implementieren.

In der folgenden Tabelle sind Links zu weiterführenden Ressourcen im Zusammenhang mit verwalteten Dienstkonten und gruppenverwalteten Dienstkonten aufgeführt.

Inhaltstyp Referenzen
Produktbewertung What's New for Managed Service Accounts

Dokumentation zu verwalteten Dienstkonten für Windows 7 und Windows Server 2008 R2

Schrittweise Anleitung zu Dienstkonten

Planung Noch nicht verfügbar
Bereitstellung Noch nicht verfügbar
Vorgänge Verwaltete Dienstkonten in Active Directory
Problembehandlung Noch nicht verfügbar
Auswertung Erste Schritte mit gruppenverwalteten Dienstkonten
Tools und Einstellungen Verwaltete Dienstkonten in Active Directory-Domänendiensten
Communityressourcen Verwaltete Dienstkonten: Grundlegendes, Implementierung, bewährte Methoden und Problembehandlung
Verwandte Technologien Übersicht über die Active Directory Domain Services