Note
Ang pag-access sa pahinang ito ay nangangailangan ng pahintulot. Maaari mong subukang mag-sign in o magpalit ng mga direktoryo.
Ang pag-access sa pahinang ito ay nangangailangan ng pahintulot. Maaari mong subukang baguhin ang mga direktoryo.
Ang Mga Pinamamahalaang Account sa Serbisyo (MSA) ay isang uri ng prinsipyo ng seguridad na magagamit sa kasalukuyang suportado na mga bersyon ng Mga Serbisyo sa Domain ng Active Directory. Nagbabahagi sila ng mga katangian ng parehong mga prinsipyo ng seguridad ng computer at gumagamit. Maaari silang idagdag sa mga pangkat ng seguridad, maaaring magpatunay, at ma-access ang mga mapagkukunan sa isang network. Ang mga ito ay inilaan upang magamit ng mga serbisyo, IIS application pool, at naka-iskedyul na mga gawain.
Mga Pakinabang ng Pinamamahalaang Mga Account sa Serbisyo
Ang mga Pinamamahalaang Account ng Serbisyo ay tumutugon sa mga tiyak na hamon na likas sa paggamit ng mga account ng gumagamit para sa pagpapatakbo ng mga serbisyo, naka-iskedyul na mga gawain, at mga pool ng application ng IIS:
- Awtomatikong pamamahala ng password
- Pinasimple na pamamahala ng pangalan ng punong-guro ng serbisyo (SPN)
- Hindi maaaring gamitin upang interactively mag-log in sa Windows
- Madaling kontrolin kung aling mga computer ang awtorisadong magpatunay ng mga MSA at magpatakbo ng code sa kanilang konteksto
Mga On-Demand na Pagsusuri na maaaring gumamit ng Mga Pinamamahalaang Account ng Serbisyo
Maaaring i-configure ang Mga Pinamamahalaang Account ng Serbisyo para sa pagpapatakbo ng mga sumusunod na On-Demand na Pagtatasa:
- Active Directory
- Seguridad ng Aktibong Direktoryo
- System Center Configuration Manager
- SharePoint
- SQL Server
- Windows Client
- Windows Server
Note
Ang Mga Pinamamahalaang Account sa Serbisyo ay hindi opisyal na suportado ng serbisyo sa customer ng Microsoft para sa ilang mga pagsasaayos ng kapaligiran. Habang gumagana ang mga ito sa karamihan ng mga sitwasyon, maaaring kailanganin na gumamit ng isang domain account kapag pinipigilan ng mga pagsasaayos ng kapaligiran ang paggamit ng Pinamamahalaang Account ng Serbisyo.
Paglalaan ng Mga Account sa Serbisyo na Pinamamahalaan
Ang isang kinakailangan sa pag-configure ng isang naka-iskedyul na gawain sa pagtatasa upang tumakbo bilang isang MSA ay upang maglaan o lumikha ng MSA sa Active Directory Domain Services. Tinutukoy ng bawat isa sa mga suportadong pagtatasa ang mga kinakailangan sa awtorisasyon at pag-access ng naka-iskedyul na account ng gawain upang matagumpay na tumakbo. Kumunsulta sa mga dokumentong kinakailangan sa suportadong pagtatasa para sa mga detalye ng kinakailangan sa pag-access ng naka-iskedyul na account ng gawain.
Mayroong dalawang uri ng mga pinamamahalaang account ng serbisyo. Maaaring i-configure ang alinman sa mga ito para sa naka-iskedyul na gawain sa pagtatasa para sa mga suportadong pagtatasa:
- Ang mga Standalone na Pinamamahalaang Account sa Serbisyo (kilala rin bilang Virtual Accounts) ay maaari lamang awtorisadong magpatunay sa isang solong computer na sumali sa domain.
- Ang Mga Account sa Serbisyo na Pinamamahalaan ng Grupo ay maaaring awtorisadong magpatunay sa ilang mga computer ng domain.
Ang Windows PowerShell Active Directory module ay kinakailangan para sa pagbibigay at pag-configure ng parehong mga uri ng MSA. Ang mga controller ng domain ay karaniwang naka-install ang module ng PowerShell na ito sa panahon ng pag-install ng papel na ginagampanan ng controller ng domain.
Ang module, isang bahagi ng Remote Server Administrator Tools, ay maaaring idagdag sa Windows Server SKU sa pamamagitan ng Server Manager. Maaari ring idagdag ang module sa Windows 10.
Sitwasyon 1 - Standalone Pinamamahalaang Account sa Serbisyo (sMSA)
Ang schema ng kagubatan ng Active Directory Domain Services ay dapat na nasa Windows Server 2008 R2 minimum upang matagumpay na maglaan ng mga standalone na pinamamahalaang account ng serbisyo. Ang mga computer na nagpapatakbo ng mga naka-iskedyul na gawain bilang isang sMSA ay dapat na nagpapatakbo ng Windows Server 2012 o mas bago.
Mayroong tatlong mga hakbang upang maglaan ng isang sMSA para sa pagpapatakbo ng On-Demand Assessments:
- Lumikha ng sMSA gamit ang New-ADServiceAccount PowerShell cmdlet.
- Pahintulutan ang makina ng pagkolekta ng data upang makuha ang password para sa sMSA gamit ang Add-ADComputerServiceAccount PowerShell cmdlet.
- Bigyan ang sMSA ng kinakailangang pag-access sa kapaligiran na sinusuri ayon sa kinakailangang dokumentasyon para sa nauugnay na pagtatasa na na-configure.
Lumikha ng Standalone na Pinamamahalaang Account sa Serbisyo
Upang lumikha ng sMSA, patakbuhin ang sumusunod na utos sa loob ng isang session ng PowerShell mula sa isang domain controller o miyembro ng domain na may naka-install na module ng Windows PowerShell Active Directory gamit ang isang account na may kinakailangang mga pahintulot upang lumikha ng mga account sa Active Directory (Ang mga Account Operator o Domain Administrator bilang default ay may mga kinakailangang pahintulot).
New-ADServiceAccount -Name <sMSAaccountname> -RestrictToSingleComputer
Halimbawa: PS C:> New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer
Pahintulutan ang Data Collection Machine na gamitin ang sMSA
Upang pahintulutan ang makina ng pagkolekta ng data na makuha ang password para sa sMSA, patakbuhin ang sumusunod na utos sa loob ng isang sesyon ng PowerShell mula sa isang domain controller o miyembro ng domain na may naka-install na module ng Windows PowerShell Active Directory gamit ang isang account na may kinakailangang mga pahintulot upang lumikha ng mga account sa Active Directory (Ang mga Account Operator o Domain Administrator bilang default ay may mga kinakailangang pahintulot).
Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”
Halimbawa: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"
I-install ang sMSA sa Data Collection Machine
Ang pre-caching ng sMSA sa makina ng pagkolekta ng data ay nagsisilbi ng isang mahalagang hakbang sa pagpapatunay upang matiyak na ang account ay naibigay nang tama at ang makina ng pagkolekta ng data ay maaaring matagumpay na makuha ang password ng sMSA at gamitin ang account. Mula sa makina ng pagkolekta ng data na may naka-install na module ng Active Directory PowerShell, patakbuhin ang sumusunod.
Install-ADServiceAccount -Identity “sMSA samaccountname”
Halimbawa: Install-ADServiceAccount -Pagkakakilanlan "sMSA-SVC$"
Note
Kung ang isang cmdlet na hindi natagpuan na error ay ibinalik, pagkatapos ay i-install ang module ng Active Directory PowerShell na ipinaliwanag sa Paglalaan ng Mga Pinamamahalaang Account ng Serbisyo.
Para sa iba pang mga error, suriin ang Microsoft-Windows-Security-Netlogon/Operational event log channel para sa mga kaganapan sa kategorya ng MSA.
Sitwasyon 2 - Group Managed Service Account (gMSA)
Ang schema ng kagubatan ng Active Directory Domain Services ay dapat na nasa minimum na Windows Server 2012 upang matagumpay na maglaan ng mga account sa serbisyo na pinamamahalaang grupo. Ang mga computer na nagpapatakbo ng mga naka-iskedyul na gawain bilang isang gMSA ay dapat na nagpapatakbo ng Windows Server 2012 o mas bago.
Mayroong 3 mga hakbang upang magbigay ng isang gMSA para sa pagpapatakbo ng On-Demand Assessments:
Lumikha ng Key Distribution Services KDS Root Key sa loob ng Active Directory gamit ang Add-KDSRootKey
Lumikha ng gMSA at pahintulutan ang makina ng pagkolekta ng data upang makuha ang password para sa gMSA gamit ang New-ADServiceAccount PowerShell cmdlet.
Bigyan ang gMSA ng kinakailangang pag-access sa kapaligiran na sinusuri ayon sa kinakailangang dokumentasyon para sa may-katuturang pagtatasa na na-configure.
Paglalaan ng KDS Root Key
Ang KDS root key ay dapat munang likhain kung hindi pa ito nilikha sa kagubatan ng Active Directory. Upang matukoy kung mayroong isang umiiral na KDS root key, patakbuhin ang sumusunod na utos mula sa loob ng isang session ng PowerShell.
Get-KdsRootKey
Note
Kung walang naibalik mula sa utos na ito, pagkatapos ay walang root key na umiiral sa kagubatan ng Active Directory.
Upang lumikha ng KDS root key, patakbuhin ang sumusunod na utos sa loob ng isang session ng PowerShell mula sa isang domain controller o miyembro ng domain na may naka-install na module ng Windows PowerShell Active Directory gamit ang isang account na may kinakailangang mga pahintulot upang lumikha ng mga account sa Active Directory (ang mga Enterprise Administrator at Domain Administrator sa forest root domain bilang default ay may mga kinakailangang pahintulot).
Add-KdsRootKey -EffectiveImmediately
Add-KdsRootKey -EffectiveAgad na nagbibigay-daan sa paglikha ng mga gMSA pagkatapos ng 10hrs upang matiyak na ang pagtitiklop ay converged sa lahat ng mga DC.
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) ay nagbibigay-daan sa paglikha ng gMSAs kaagad.
Ang pamamaraang ito ay may ilang panganib ng nabigong paglikha o paggamit ng gMSA kung ang AD replication convergence forest wide ay tumatagal ng ilang oras sa ilalim ng karaniwang operasyon.
Lumikha ng Account sa Serbisyo na Pinamamahalaang Grupo
Upang lumikha ng gMSA, patakbuhin ang sumusunod na utos sa loob ng isang sesyon ng PowerShell mula sa isang domain controller o miyembro ng domain na may naka-install na module ng Windows PowerShell Active Directory gamit ang isang account na may kinakailangang mga pahintulot upang lumikha ng mga account sa Active Directory (ang mga Account Operator o Domain Administrator bilang default ay may mga kinakailangang pahintulot).
New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”
Halimbawa: PS C:\> New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"
I-install ang gMSA sa Data Collection Machine
Ang pre-caching ng gMSA sa makina ng pagkolekta ng data ay nagsisilbi ng isang mahalagang hakbang sa pagpapatunay upang matiyak na ang account ay naibigay nang tama at ang makina ng pagkolekta ng data ay maaaring matagumpay na makuha ang password ng gMSA at gamitin ang account. Mula sa makina ng pagkolekta ng data na may naka-install na module ng Active Directory PowerShell, patakbuhin ang sumusunod.
Install-ADServiceAccount -Identity “gMSA samaccountname”
Halimbawa: Install-ADServiceAccount -Identity "gMSA-SVC$"
Note
Kung ang isang cmdlet na hindi natagpuan na error ay ibinalik, pagkatapos ay i-install ang module ng Active Directory PowerShell na ipinaliwanag sa Paglalaan ng Mga Pinamamahalaang Account ng Serbisyo.
Para sa iba pang mga error, suriin ang Microsoft-Windows-Security-Netlogon/Operational event log channel para sa mga kaganapan sa kategorya ng MSA.