Group Managed Service Accounts Overview

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Artikel für IT-Spezialist*innen werden gruppenverwaltete Dienstkonten (gMSAs) eingeführt. Hierzu werden praktische Anwendungsmöglichkeiten, Änderungen in der Implementierung von Microsoft sowie Hard- und Softwareanforderungen beschrieben.

Featurebeschreibung

Ein eigenständiges verwaltetes Dienstkonto (sMSA) ist ein verwaltetes Domänenkonto, das eine automatische Kennwortverwaltung, eine vereinfachte Verwaltung von Dienstprinzipalnamen (Service Principal Name, SPN) und die Möglichkeit bietet, die Verwaltung an andere Administrator*innen zu delegieren. Dieser Typ von verwaltetem Dienstkonto (Managed Service Account, MSA) wurde in Windows Server 2008 R2 und unter Windows 7 eingeführt.

Ein gruppenverwaltetes Dienstkonto (gMSA) bietet die gleiche Funktionalität innerhalb der Domäne und weitet diese Funktionalität darüber hinaus auf mehrere Server aus. Wenn Sie eine Verbindung mit einem Dienst herstellen, der in einer Serverfarm gehostet wird (beispielsweise eine Lösung mit Netzwerklastenausgleich), erfordern die Authentifizierungsprotokolle mit gegenseitiger Authentifizierung, dass alle Instanzen der Dienste den gleichen Prinzipal verwenden. Wenn Sie ein gMSA als Dienstprinzipal verwenden, wird das Kennwort für das Konto vom Windows-Betriebssystem verwaltet, anstatt die Kennwortverwaltung den Administrator*innen zu überlassen.

Mit dem Microsoft-Schlüsselverteilungsdienst (kdssvc.dll) können Sie auf sichere Weise den aktuellen Schlüssel oder einen bestimmten Schlüssel mit einer Schlüssel-ID für ein Active Directory-Konto erhalten. Vom Schlüsselverteilungsdienst werden geheime Informationen zur Erstellung von Schlüsseln für das Konto bereitgestellt. Diese Schlüssel ändern sich in regelmäßigen Abständen. Bei einem gMSA berechnet der Domänencontroller das Kennwort für den Schlüssel, der vom Schlüsselverteilungsdienst angegebenen wird, zusammen mit anderen Attributen des gMSA. Aktuelle und ältere Kennwortwerte können von Mitgliedshosts durch Kontaktieren eines Domänencontrollers abgerufen werden.

Praktische Anwendung

gMSAs bieten eine Einzelidentitätslösung für Dienste, die in einer Serverfarm oder auf Systemen hinter einem Netzwerklastenausgleich ausgeführt werden. Durch die Bereitstellung einer gMSA-Lösung können Sie Dienste für den neuen gMSA-Prinzipal konfigurieren, während Windows die Kennwortverwaltung übernimmt.

Wenn Dienste oder Dienstadministrator*innen ein gMSA verwenden, müssen sie keine Kennwortsynchronisierung zwischen Dienstinstanzen verwalten. Das gMSA unterstützt Hosts, die über einen längeren Zeitraum offline sind, und verwaltet Mitgliedshosts für alle Instanzen eines Diensts. Sie können eine Serverfarm bereitstellen, die eine einzelne Identität unterstützt, mit der vorhandene Clientcomputer authentifiziert werden können, ohne wissen zu müssen, mit welcher Dienstinstanz sie eine Verbindung herstellen.

Failovercluster unterstützen keine gruppenverwalteten Dienstkonten. Dienste, die oben im Clusterdienst ausgeführt werden, können jedoch ein gMSA oder sMSA verwenden, wenn sie ein Windows-Dienst, ein App-Pool oder eine geplante Aufgabe sind oder gMSA oder sMSA systemeigen unterstützen.

Softwareanforderungen

Um die Windows PowerShell-Befehle auszuführen, die Sie zum Verwalten von gMSAs benötigen, benötigen Sie eine 64-Bit-Architektur.

Ein verwaltetes Dienstkonto ist abhängig von Verschlüsselungstypen mit Kerberos-Unterstützung. Wenn sich ein Clientcomputer gegenüber einem Server per Kerberos authentifiziert, wird vom Domänencontroller ein Kerberos-Dienstticket erstellt, das mit einer Verschlüsselung geschützt ist, die sowohl vom Domänencontroller als auch vom Server unterstützt wird. Der DC verwendet das Attribut msDS-SupportedEncryptionTypes des Kontos, um zu bestimmen, welche Verschlüsselung der Server unterstützt. Wenn kein Attribut vorhanden ist, behandelt der DC den Clientcomputer so, als würde er keine sichereren Verschlüsselungsarten unterstützen. Wenn Sie den Host so konfiguriert haben, dass RC4 nicht unterstützt wird, schlägt die Authentifizierung immer fehl. Aus diesem Grund sollten Sie für MSAs immer AES konfigurieren.

Hinweis

Ab Windows Server 2008 R2 ist DES standardmäßig deaktiviert. Weitere Informationen zu den unterstützten Verschlüsselungsarten finden Sie unter Changes in Kerberos Authentication.

gMSAs können nicht für Windows-Betriebssysteme vor Windows Server 2012 verwendet werden.

Informationen zum Server-Manager

Sie müssen keine zusätzliche Konfiguration vornehmen, um MSA und gMSA mit dem Server-Manager oder dem Install-WindowsFeature-Cmdlet zu implementieren.

Nächste Schritte

Hier sind weitere Ressourcen, in denen Sie mehr über verwaltete Dienstkonten erfahren können:

• Neues für verwaltete Dienstkonten
• Dokumentation zu verwalteten Dienstkonten für Windows 7 und Windows Server 2008 R2
• Schrittweise Anleitung zu Dienstkonten (möglicherweise in englischer Sprache)
• Verwaltete Dienstkonten in Active Directory
• Erste Schritte mit gruppenverwalteten Dienstkonten
• Verwaltete Dienstkonten in Active Directory-Domänendiensten
• Verwaltete Dienstkonten: Grundlegendes, Implementierung, bewährte Methoden und Problembehandlung
• Übersicht über die Active Directory Domain Services