Getting Started with Group Managed Service Accounts

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Ce guide fournit des instructions pas à pas et des informations d’arrière-plan pour activer et utiliser des comptes de service managé de groupe dans Windows Server 2012.

Dans ce document

Notes

Cette rubrique inclut des exemples d'applets de commande Windows PowerShell que vous pouvez utiliser pour automatiser certaines des procédures décrites. Pour plus d’informations, consultez Utilisation des applets de commande.

Prérequis

Reportez-vous à la section Configuration requise pour les comptes de service administrés de groupe de cette rubrique.

Introduction

Lorsqu'un ordinateur client se connecte à un service qui est hébergé sur une batterie de serveurs à l'aide de l'équilibrage de la charge réseau ou d'une autre méthode dans laquelle tous les serveurs sont présentés au client comme étant un même service, les protocoles d'authentification prenant en charge l'authentification mutuelle comme Kerberos ne peuvent alors pas être utilisés sauf si toutes les instances des services utilisent le même principal. Cela signifie que tous les services doivent utiliser les mêmes mots de passe/clés pour prouver leur identité.

Notes

Les clusters de basculement ne prennent pas en charge les comptes de service administrés de groupe (gMSA, group Managed Service Account). Toutefois, les services qui s'exécutent sur le service de cluster peuvent utiliser un compte gMSA ou un compte de service administré autonome (sMSA, standalone Managed Service Account) s'il s'agit d'un service Windows, d'un pool d'applications, d'une tâche planifiée ou s'ils prennent nativement en charge les comptes gMSA ou sMSA.

Les principaux suivants sont disponibles pour les services, chacun avec certaines limitations.

Principaux Services pris en charge Gestion des mots de passe
Compte d'ordinateur du système Windows Limité à un serveur joint à un domaine Géré par l'ordinateur
Compte d'ordinateur sans système Windows Tout serveur joint à un domaine None
Compte virtuel Limité à un serveur Géré par l'ordinateur
Compte de service administré autonome Windows 7 Limité à un serveur joint à un domaine Géré par l'ordinateur
Compte d'utilisateur Tout serveur joint à un domaine None
Compte de service administré de groupe Tout serveur joint à un domaine Windows Server 2012 Le contrôleur de domaine gère et l'hôte récupère

Un compte d’ordinateur Windows, un compte de service managé autonome Windows 7 (sMSA) ou des comptes virtuels ne peuvent pas être partagés entre plusieurs systèmes. Dans le cas de comptes virtuels, l’identité est également locale sur la machine et non reconnue par le domaine. Si vous configurez un compte à partager par les services de la batterie de serveurs, vous devrez choisir un compte d'utilisateur ou un compte d'ordinateur en dehors d'un système Windows. Dans tous les cas, ces comptes n'ont pas la capacité de gérer les mots de passe depuis un seul point de contrôle. Cette situation est problématique, car chaque organisation doit alors créer une solution coûteuse pour mettre à jour les clés du service dans Active Directory, puis les distribuer à toutes les instances de ces services.

Avec Windows Server 2012, les services ou les administrateurs de service n’ont pas besoin de gérer la synchronisation de mot de passe entre les instances de service lors de l’utilisation de comptes de service managés de groupe (gMSA). Vous configurez la fonctionnalité gMSA dans Active Directory, puis configurez le service qui prend en charge les comptes de service administrés. L’utilisation de gMSA est étendue à n’importe quel ordinateur capable d’utiliser LDAP pour récupérer les informations d’identification de gMSA. Vous pouvez configurer un compte gMSA à l'aide des applets de commande *-ADServiceAccount qui font partie du module Active Directory. La configuration de l'identité du service sur l'hôte est prise en charge par :

  • Les mêmes API que les comptes sMSA, de sorte que les produits qui prennent en charge les comptes sMSA prendront en charge les comptes gMSA

  • Les services qui utilisent le Gestionnaire de contrôle des services pour configurer l'identité d'ouverture de session

  • Les services qui utilisent le Gestionnaire des services IIS pour les pools d'applications pour configurer l'identité

  • Les tâches qui utilisent le Planificateur de tâches

Conditions requises pour les comptes de service administrés de groupe

Le tableau suivant répertorie la configuration requise du système d'exploitation pour que l'authentification Kerberos puisse fonctionner avec les services utilisant des comptes gMSA. Les conditions requises pour Active Directory sont répertoriées à la suite de ce tableau.

Une architecture 64 bits est requise pour exécuter les commandes Windows PowerShell utilisées pour administrer les comptes de service administrés de groupe.

Système d'exploitation requis

Élément Condition requise Système d’exploitation
Hôte d'application cliente Client Kerberos conforme aux RFC Au minimum Windows XP
Contrôleurs de domaine du compte d’utilisateur KDC conforme aux RFC Au minimum Windows Server 2003
Hôtes membres du service partagé Windows Server 2012
Contrôleurs de domaine de l’hôte membre KDC conforme aux RFC Au minimum Windows Server 2003
Contrôleurs de domaine du compte gMSA Windows Server 2012 pc disponibles pour l’hôte pour récupérer le mot de passe Domaine avec Windows Server 2012 qui peut avoir des systèmes antérieurs à Windows Server 2012
Hôte de service principal Serveur d'application Kerberos conforme aux RFC Au minimum Windows Server 2003
Contrôleurs de domaine du compte de service principal KDC conforme aux RFC Au minimum Windows Server 2003
Windows PowerShell pour Active Directory Windows PowerShell pour Active Directory installé localement sur un ordinateur prenant en charge une architecture 64 bits ou sur votre ordinateur d'administration à distance (utilisant par exemple les Outils d'administration de serveur distant) Windows Server 2012

Conditions requises pour le service de domaine Active Directory

  • Le schéma Active Directory dans la forêt du domaine gMSA doit être mis à jour pour Windows Server 2012 pour créer un gMSA.

    Vous pouvez mettre à jour le schéma en installant un contrôleur de domaine qui s’exécute Windows Server 2012 ou en exécutant la version de adprep.exe à partir d’un ordinateur exécutant Windows Server 2012 . La valeur de l'attribut object-version de l'objet CN=Schema,CN=Configuration,DC=Contoso,DC=Com doit être 52.

  • Nouveau compte gMSA configuré

  • Si vous gérez l'autorisation de l'hôte de service à utiliser gMSA par groupe, alors groupe de sécurité nouveau ou existant

  • Si vous gérez le contrôle d'accès au service par groupe, alors groupe de sécurité nouveau ou existant

  • Si la première clé racine principale pour Active Directory n'est pas déployée dans le domaine ou n'a pas été créée, alors créez-la. Le résultat de sa création peut être vérifié dans le journal des opérations du service KDS, ID d'événement 4004.

Pour obtenir des instructions sur la création de la clé, consultez Créer la clé racine KDS des services de distribution de clés. Le service de distribution de clés Microsoft (kdssvc.dll) crée la clé racine pour Active Directory.

Cycle de vie

Le cycle de vie d'une batterie de serveurs utilisant la fonctionnalité gMSA comporte généralement les tâches suivantes :

  • Déploiement d'une nouvelle batterie de serveurs

  • Ajout d'hôtes membres à une batterie de serveurs existante

  • Désaffectation d'hôtes membres d'une batterie de serveurs existante

  • Désaffectation d'une batterie de serveurs existante

  • Suppression d'un hôte membre compromis d'une batterie de serveurs, le cas échéant.

Déploiement d'une nouvelle batterie de serveurs

Lors du déploiement d'une nouvelle batterie de serveurs, l'administrateur du service devra déterminer les éléments suivants :

  • Si le service prend en charge l'utilisation de comptes gMSA

  • Si le service nécessite des connexions entrantes et sortantes authentifiées

  • Les noms de comptes d'ordinateur des hôtes membres du service utilisant la fonctionnalité gMSA

  • Le nom NetBIOS du service

  • Le nom d'hôte DNS du service

  • Les noms de principal du service (SPN) pour le service

  • L'intervalle de modification de mot de passe (la valeur par défaut est 30 jours).

Étape 1 : Configuration des comptes de service administrés de groupe

Vous pouvez créer un compte gMSA uniquement si le schéma de forêt a été mis à jour pour Windows Server 2012 , la clé racine principale pour Active Directory a été déployée et qu’il existe au moins un contrôleur de domaine Windows Server 2012 dans le domaine dans lequel le compte gMSA sera créé.

L’appartenance aux administrateurs de domaine ou la possibilité de créer des objets msDS-GroupManagedServiceAccount est la condition minimale requise pour effectuer les procédures suivantes.

Notes

Une valeur pour le paramètre -Name est toujours requise (que vous spécifiiez -Name ou non), avec -DNSHostName, -RestrictToSingleComputer et -RestrictToOutboundAuthentication étant des exigences secondaires pour les trois scénarios de déploiement.

Pour créer un compte gMSA à l'aide de la nouvelle applet de commande New-ADServiceAccount

  1. Sur le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.

  2. À l'invite de commandes de Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée : (Le module Active Directory sera chargé automatiquement.)

    New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]

    Paramètre String Exemple
    Nom Nom du compte BatterieIT1
    DNSHostName Nom d'hôte DNS du service BatterieIT1.contoso.com
    KerberosEncryptionType Tout type de chiffrement pris en charge par les serveurs hôtes None, RC4, AES128, AES256
    ManagedPasswordIntervalInDays Intervalle de modification de mot de passe exprimé en jours (la valeur par défaut est 30 jours) 90
    PrincipalsAllowedToRetrieveManagedPassword Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres HôtesBatterieIT
    SamAccountName Nom NetBIOS du service s'il est différent de Name BatterieIT1
    ServicePrincipalNames Noms de principal du service (SPN) pour le service http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

    Important

    L'intervalle de modification de mot de passe ne peut être défini qu'à la création. Si vous avez besoin de modifier l'intervalle, vous devez créer un nouveau compte gMSA et définir l'intervalle au moment de la création.

    Exemple

    Entrez la commande sur une seule ligne, même si elle tient ici sur plusieurs lignes du fait de contraintes de mise en forme.

    New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
    

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de créer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d’informations sur l’utilisation des comptes et des appartenances aux groupes appropriés, consultez Groupes locaux et par défaut de domaine.

Pour créer un compte gMSA pour l'authentification sortante en utilisant uniquement l'applet de commande New-ADServiceAccount
  1. Sur le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    Chaîne New-ADServiceAccount [-Name] <> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]

    Paramètre String Exemple
    Nom Nom du compte BatterieIT1
    ManagedPasswordIntervalInDays Intervalle de modification de mot de passe exprimé en jours (la valeur par défaut est 30 jours) 75
    PrincipalsAllowedToRetrieveManagedPassword Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres HôtesBatterieIT

    Important

    L'intervalle de modification de mot de passe ne peut être défini qu'à la création. Si vous avez besoin de modifier l'intervalle, vous devez créer un nouveau compte gMSA et définir l'intervalle au moment de la création.

Exemple

New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$

Étape 2 : Configuration du service d'application d'identité au service

Pour configurer les services dans Windows Server 2012, consultez la documentation de fonctionnalité suivante :

D'autres services peuvent prendre en charge la fonctionnalité gMSA. Reportez-vous à la documentation produit spécifique pour plus d'informations sur la configuration de ces services.

Ajout d'hôtes membres à une batterie de serveurs existante

Si vous utilisez des groupes de sécurité pour gérer les hôtes membres, ajoutez le compte d’ordinateur du nouvel hôte membre au groupe de sécurité (dont les hôtes membres du compte gMSA sont membres) à l’aide de l’une des méthodes suivantes.

Vous devez au minimum appartenir au groupe Admins du domaine ou avoir la capacité d'ajouter des membres à l'objet de groupe de sécurité pour réaliser ces procédures.

Si vous utilisez des comptes d'ordinateur, recherchez les comptes existants et ajoutez le nouveau compte d'ordinateur.

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de gérer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d'informations sur l'utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.

Pour ajouter des hôtes membres à l'aide de l'applet de commande Set-ADServiceAccount

  1. Sur le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    Chaîne Get-ADServiceAccount [-Identity] <> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    Chaîne Set-ADServiceAccount [-Identity] <> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Paramètre String Exemple
Nom Nom du compte BatterieIT1
PrincipalsAllowedToRetrieveManagedPassword Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres Hôte1, Hôte2, Hôte3

Exemple

Par exemple, pour ajouter des hôtes membres, tapez les commandes suivantes et appuyez sur Entrée.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

Mise à jour des propriétés du compte de service administré de groupe

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité d'écrire dans des objets msDS-GroupManagedServiceAccount pour réaliser ces procédures.

Ouvrez le module Active Directory pour Windows PowerShell et définissez toute propriété à l'aide de l'applet de commande Set-ADServiceAccount.

Pour plus d’informations sur la définition de ces propriétés, voir Set-ADServiceAccount dans la Bibliothèque TechNet ou tapez Get-Help Set-ADServiceAccount à l’invite de commandes du module Active Directory pour Windows PowerShell et appuyez sur ENTRÉE.

Désaffectation d'hôtes membres d'une batterie de serveurs existante

Vous devez au minimum appartenir au groupe Admins du domaine ou avoir la capacité de supprimer des membres de l'objet de groupe de sécurité pour réaliser ces procédures.

Étape 1 : Supprimer l'hôte membre du compte gMSA

Si vous utilisez des groupes de sécurité pour gérer les hôtes membres, supprimez le compte d’ordinateur de l’hôte membre désactivé du groupe de sécurité dont les hôtes membres gMSA sont membres à l’aide de l’une des méthodes suivantes.

Si la liste des comptes d'ordinateur est affichée, récupérez les comptes existants, puis ajoutez tous les comptes sauf le compte d'ordinateur supprimé.

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de gérer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d'informations sur l'utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.

Pour supprimer des hôtes membres à l'aide de l'applet de commande Set-ADServiceAccount
  1. Sur le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    Chaîne Get-ADServiceAccount [-Identity] <> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    Chaîne Set-ADServiceAccount [-Identity] <> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Paramètre String Exemple
Nom Nom du compte BatterieIT1
PrincipalsAllowedToRetrieveManagedPassword Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres Host1, Host3

Exemple

Par exemple, pour supprimer des hôtes membres, tapez les commandes suivantes et appuyez sur Entrée.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

Étape 2 : Suppression d'un compte de service administré de groupe du système

Supprimez les informations d'identification de compte gMSA mises en cache de l'hôte membre à l'aide de Uninstall-ADServiceAccount ou de l'API NetRemoveServiceAccount sur le système hôte.

Vous devez au minimum appartenir au groupe Administrateurs ou à un groupe équivalent pour réaliser ces procédures.

Pour supprimer un compte gMSA à l'aide de l'applet de commande Uninstall-ADServiceAccount
  1. Sur le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    Uninstall-ADServiceAccount ADServiceAccount <>

    Exemple

    Par exemple, pour supprimer les informations d'identification mises en cache pour un gMSA nommé BatterieIT1, tapez la commande suivante et appuyez sur Entrée :

    Uninstall-ADServiceAccount ITFarm1
    

Pour plus d’informations sur l’applet de commande Uninstall-ADServiceAccount, à l’invite de commandes du module Active Directory pour Windows PowerShell, tapez Get-Help Uninstall-ADServiceAccountet appuyez sur ENTRÉE ou consultez Uninstall-ADServiceAccountdans la Bibliothèque TechNet.