What's New for Managed Service Accounts
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
In diesem Thema für IT-Spezialisten werden die Funktionsänderungen für verwaltete Dienstkonten beschrieben, die mit der Einführung des gruppenverwalteten Dienstkontos (group Managed Service Account, gMSA) in Windows Server 2012 und Windows 8 verbunden sind.
Das verwaltete Dienstkonto wurde entwickelt, damit Dienste und Aufgaben wie Windows-Dienste und ISS-Anwendungspools eigene Domänenkonten zur Verfügung stellen und dabei die Anforderung an Administratoren wegfällt, diesen Konten manuell Kennwörter zuweisen zu müssen. Die automatische Kennwortverwaltung wird von verwalteten Domänenkonten bereitgestellt.
Neues in verwalteten Dienstkonten in Windows Server 2012 und Windows 8
Im Folgenden werden die Funktionsänderungen beschrieben, die in Windows Server 2012 und Windows 8 am verwalteten Dienstkonto vorgenommen wurden.
Gruppenverwaltete Dienstkonten
Wenn ein Domänenkonto für einen Server in einer Domäne konfiguriert wird, kann sich der Clientcomputer bei diesem Gerät authentifizieren und eine Verbindung dazu herstellen. Zuvor stellen nur zwei Kontotypen eine Identität zur Verfügung, ohne dass die Kennwortverwaltung erforderlich war. Diese Kontotypen haben jedoch Einschränkungen:
Das Computerkonto ist auf einen Domänenserver beschränkt und die Kennwörter werden vom Computer verwaltet.
Das verwaltete Dienstkonto ist auf einen Domänenserver beschränkt und die Kennwörter werden vom Computer verwaltet.
Diese Konten können nicht über mehrere Systeme hinweg freigegeben werden. Aus diesem Grund muss das Konto im Hinblick auf alle Dienste auf allen Systemen regelmäßig gewartet werden, um zu verhindern, dass das Kennwort unbeabsichtigterweise abläuft.
Welchen Nutzen bietet diese Änderung?
Das gruppenverwaltete Dienstkonto behebt dieses Problem, da das Kontokennwort von Windows Server 2012-Domänencontrollern verwaltet wird und von mehreren Windows Server 2012-Systemen abgerufen werden kann. Das minimiert den administrativen Mehraufwand eines Dienstkontos, indem Windows gestattet wird, die Kennwortverwaltung für diese Konten zu übernehmen.
Worin bestehen die Unterschiede?
Auf Computern, auf denen Windows Server 2012 oder Windows 8 ausgeführt wird, kann ein gruppenverwaltetes Dienstkonto über den Manager der Dienststeuerung erstellt und verwaltet werden, damit mehrere Instanzen des Diensts, die beispielsweise über eine Serverfarm bereitgestellt werden, von einem Server aus verwaltet werden können. Tools und Hilfsprogramme zur Verwaltung von verwalteten Dienstkonten, etwa der ISS-Anwendungspoolmanager, können mit gruppenverwalteten Dienstkonten verwendet werden. Domänenadministratoren können die Dienstverwaltung an Dienstadministratoren delegieren, die den gesamten Lebenszyklus eines verwalteten oder gruppenverwalteten Dienstkontos verwalten können. Bestehende Clientcomputer können sich bei allen solchen Diensten authentifizieren, ohne zu wissen, bei welcher Dienstinstanz sie das tun.
Entfernte oder veraltete Funktionen
In Windows Server 2012 werden die Windows PowerShell-Cmdlets standardmäßig für die Verwaltung der gruppenverwalteten Dienstkonten anstatt für die serververwalteten Dienstkonten verwendet.