Group Managed Service Accounts Overview

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Cet article destiné aux informaticiens présente le compte de service administré de groupe (« group Managed Service Account » – gMSA) en décrivant des applications pratiques, les modifications apportées à l’implémentation Microsoft et les exigences matérielles et logicielles.

Description de la fonctionnalité

Un compte de service administré autonome (sMSA) est un compte de domaine administré qui fournit la gestion automatique des mots de passe, la gestion simplifiée des noms principaux du service (SPN) et la possibilité de déléguer la gestion à d’autres administrateurs. Ce type de compte de service managé (« Managed Service Account » – MSA) a été introduit dans Windows Server 2008 R2 et Windows 7.

Le compte de service administré de groupe (gMSA) offre les mêmes fonctionnalités dans un domaine que sur de nombreux serveurs. Lors de la connexion à un service hébergé sur une batterie de serveurs, tel que la solution de charge réseau équilibrée, les protocoles d’authentification prenant en charge l’authentification mutuelle exigent que toutes les instances des services utilisent le même principal. Lorsque vous utilisez un compte de service administré de groupe comme principal de service, le système d’exploitation Windows gère le mot de passe du compte au lieu de laisser cette responsabilité à l’administrateur.

Le service de distribution de clés Microsoft (kdssvc.dll) vous permet d’ obtenir en toute sécurité la dernière clé ou une clé spécifique avec un identificateur de clé d’un compte Active Directory. Le service de distribution de clés partage un secret qui sert à créer des clés pour le compte. Ces clés changent régulièrement. Pour un compte de service administré de groupe, le contrôleur de domaine calcule le mot de passe sur la clé fournie par les Services de distribution de clés en plus d’autres attributs du compte de service administré de groupe. Les hôtes membres peuvent obtenir les valeurs de mot de passe actuelles et précédentes en contactant un contrôleur de domaine.

Cas pratiques

Les comptes de service administrés de groupe fournissent une solution d’identité unique pour les services qui s’exécutent dans une batterie de serveurs ou sur des systèmes reposant sur un équilibrage de la charge réseau. En fournissant une solution gMSA, vous pouvez configurer des services pour le nouveau principal gMSA tandis que Windows gère la gestion des mots de passe.

Avec un compte de service administré de groupe, ni les services, ni les administrateurs de services n’ont besoin de gérer la synchronisation des mots de passe entre les instances de services. Le compte de service administré de groupe prend en charge les hôtes qui sont maintenus hors connexion pour une durée prolongée, ainsi que la gestion des hôtes membres pour toutes les instances d’un service. Vous pouvez déployer une batterie de serveurs prenant en charge une identité unique auprès de laquelle les ordinateurs clients existants peuvent s’authentifier sans avoir à connaître l’instance de service à laquelle ils se connectent.

Les clusters de basculement ne prennent pas en charge les comptes de service administrés de groupe (gMSA, group Managed Service Account). Toutefois, les services qui s'exécutent sur le service de cluster peuvent utiliser un compte gMSA ou un compte de service administré autonome (sMSA, standalone Managed Service Account) s'il s'agit d'un service Windows, d'un pool d'applications, d'une tâche planifiée ou s'ils prennent nativement en charge les comptes gMSA ou sMSA.

Configuration logicielle requise

Pour exécuter les commandes Windows PowerShell dont vous avez besoin pour administrer des gMSA, vous devez disposer d’une architecture 64 bits.

Un compte de service administré dépend des types de chiffrement pris en charge par Kerberos. Lorsqu’un ordinateur client s’authentifie auprès d’un serveur à l’aide de Kerberos, le contrôleur de domaine crée un ticket de service Kerberos protégé par le chiffrement pris en charge par le contrôleur de domaine et le serveur. Le contrôleur de domaine utilise l’attribut msDS-SupportedEncryptionTypes du compte pour déterminer le chiffrement pris en charge par le serveur. S’il n’y a pas d’attribut, il suppose que l’ordinateur client ne prend pas en charge les types de chiffrement plus forts. Si vous avez configuré l’hôte pour ne pas prendre en charge RC4, l’authentification échoue toujours. Pour cette raison, vous devez toujours configurer AES pour les MSA.

Remarque

À compter de Windows Server 2008 R2, DES est désactivé par défaut. Pour plus d’informations sur les types de chiffrement pris en charge, voir Modifications apportées à l’authentification Kerberos.

Les comptes de service administrés de groupe ne s’appliquent pas aux systèmes d’exploitation Windows antérieurs à Windows Server 2012.

Informations sur le Gestionnaire de serveur

Vous n’avez pas besoin d’effectuer de configuration supplémentaire pour implémenter MSA et gMSA à l’aide du Gestionnaire de serveur ou de l’applet de commande Install-WindowsFeature.

Étapes suivantes

Voici quelques autres ressources que vous pouvez lire pour en savoir plus sur les comptes de service administrés :