שתף באמצעות


הפעלת הערכות עם חשבונות שירות מנוהלים

חשבונות שירות מנוהלים (MSAs) הם סוג של עקרונות אבטחה הזמינים בגירסאות הנתמכות כעת של Active Directory Domain Services. הם משתפים מאפיינים הן של עקרונות אבטחת המחשב והן של המשתמשים. ניתן להוסיף אותם לקבוצות אבטחה, לאמת אותם ולגשת למשאבים ברשת. הם מיועדים לשימוש על-ידי שירותים, מאגרי יישומים של IIS ומשימות מתוזמנות.

היתרונות של חשבונות שירות מנוהל

חשבונות שירות מנוהלים פועלים עם אתגרים ספציפיים הקיימים בשימוש בחשבונות משתמשים עבור שירותים פועלים, משימות מתוזמנות ומ מאגרי יישומים של IIS:

  • ניהול סיסמאות אוטומטי
  • ניהול שם (SPN) פשוט יותר של שם השירות
  • לא ניתן להשתמש בו כדי להיכנס באופן אינטראקטיבי ל- Windows
  • שלוט בקלות במחשבים המורשים לאמת MSAs ולהפעיל קוד בהקשר שלהם

הערכות לפי דרישה שעשויות להשתמש בחשבונות שירות מנוהל

ניתן לקבוע את התצורה של חשבונות שירות מנוהלים עבור הפעלת ההערכות לפי דרישה הבאות:

  • Active Directory
  • אבטחת Active Directory
  • System Center Configuration Manager
  • SharePoint
  • SQL Server
  • לקוח Windows
  • שרת Windows

הערה

חשבונות שירות מנוהלים אינם נתמכים באופן רשמי על-ידי שירות הלקוחות של Microsoft עבור תצורות סביבתיות מסוימות. למרות שהם עובדים ברוב התרחישים, ייתכן שיהיה צורך להשתמש בחשבון תחום כאשר תצורות סביבתיות מונעות שימוש בחשבון שירות מנוהל.

הקצאת חשבונות שירות מנוהל

דרישה מוקדמת לקביעת תצורה של משימה מתוזמנת להערכה להפעלה כ- MSA היא הקצאה או יצירה של MSA ב- Active Directory Domain Services. כל אחת מההערכות הנתמכות מציינת את דרישות ההרשאה והגישה של חשבון המשימה המתוזמן להפעלה מוצלחת. עיין במסמכים נתמכים לתחילת העבודה עם הערכה ובמסמכים המהווים דרישה מוקדמת לקבלת פרטי דרישת גישה של חשבון המשימה המתוזמן.

קיימים שני סוגים של חשבונות שירות מנוהלים. ניתן לקבוע את התצורה של המשימה המתוזמנת להערכה עבור ההערכות הנתמכות:

  • ניתן לאשר חשבונות שירות מנוהל עצמאיים (שנקראים גם חשבונות וירטואליים) רק במחשב המצורף לתחום יחיד.
  • ניתן לאשר חשבונות שירות מנוהלים של קבוצה לבצע אימות בכמה מחשבי תחום.

מודול Windows PowerShell Active Directory נדרש להקצאת משאבים והגדרה של שני הסוגים של MSAs. בקרי תחום כוללים בדרך כלל מודול PowerShell זה מותקן במהלך ההתקנה של תפקיד בקר התחום.

ניתן להוסיף את המודול, רכיב של כלי מנהל שרת מרוחק, למודולים של Windows Server באמצעות מנהל השרת. ניתן גם להוסיף את המודול ל- Windows 10.

תרחיש 1 – חשבון שירות מנוהל עצמאי (sMSA)

סכימת יער של Active Directory Domain Services חייבת להיות במינימום של Windows Server 2008 R2 כדי להקצות בהצלחה חשבונות שירות מנוהלים עצמאיים. במחשבים שבהם פועלות משימות מתוזמנות כ- sMSA חייב לפעול Windows Server 2012 ואילך.

קיימים שלושה שלבים להקצאת SMSA להפעלה של הערכות לפי דרישה:

  1. צור את ה- sMSA באמצעות ה- cmdlet של PowerShell New-ADServiceAccount.

  2. אשר למחשב איסוף הנתונים להשיג את הסיסמה עבור sMSA באמצעות cmdlet של Add-ADComputerServiceAccount PowerShell.

  3. הענק ל- sMSA את הגישה הנדרשת לסביבה הנערכת לפי התיעוד המהווה דרישה מוקדמת עבור ההערכה הרלוונטית שתצורתה נקבעה.

יצירת חשבון שירות מנוהל עצמאי

כדי ליצור את ה- sMSA, הפעל את הפקודה הבאה בתוך הפעלת PowerShell מתוך בקר תחום או חבר תחום במודול Windows PowerShell Active Directory המותקן באמצעות חשבון עם ההרשאות הנחוצות ליצירת חשבונות ב- Active Directory (למפעילי חשבונות או למנהלי תחום יש את ההרשאות הדרושות כברירת מחדל).

New-ADServiceAccount -Name <sMSAaccountname>  -RestrictToSingleComputer

לדוגמה: PS C:> New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer

אשר למחשב איסוף נתונים להשתמש ב- sMSA

כדי לאשר למחשב איסוף הנתונים להשיג את הסיסמה עבור ה- sMSA, הפעל את הפקודה הבאה בהפעלת PowerShell מתוך בקר תחום או חבר תחום במודול Windows PowerShell Active Directory המותקן באמצעות חשבון עם ההרשאות הנחוצות ליצירת חשבונות ב- Active Directory (אופרטורים של חשבון או מנהלי תחומים, כברירת מחדל, יש את ההרשאות הנחוצות).

Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”

לדוגמה: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"

התקנת sMSA במחשב איסוף נתונים

אחסון מראש במטמון של ה- sMSA במחשב איסוף הנתונים משרת שלב אימות חשוב כדי לוודא שהחשבון הוקצה כראוי, ומכונה איסוף הנתונים יכולה לאחזר בהצלחה את סיסמת ה- sMSA ולהשתמש בחשבון. ממחשב איסוף הנתונים המותקן בו מודול PowerShell של Active Directory, הפעל את הפעולות הבאות.

Install-ADServiceAccount -Identity “sMSA samaccountname”

לדוגמה: Install-ADServiceAccount -Identity "sMSA-SVC$"

הערה

אם מוחזרת שגיאה של cmdlet שלא נמצא, התקן את מודול PowerShell של Active Directory שמוסבר בהקצאת חשבונות שירות מנוהלים.

לקבלת שגיאות אחרות, עיין בערוץ יומן האירועים של Microsoft-Windows-Security-Netlogon/Operational עבור אירועי קטגוריית MSA.

תרחיש 2 – חשבון שירות מנוהל של קבוצה (gMSA)

Active Directory Domain Services forest schema must be at Windows Server 2012 minimum to successfully provision group managed service accounts. במחשבים שבהם פועלות משימות מתוזמנות כ- gMSA חייב לפעול Windows Server 2012 ואילך.

קיימים שלושה שלבים להקצאת gMSA להפעלה של הערכות לפי דרישה:

  1. צור את מפתח הבסיס של KDS של שירותי הפצת מפתחות בתוך Active Directory באמצעות Add-KDSRootKey.

  2. צור את ה- gMSA ואשר למחשב איסוף הנתונים להשיג את הסיסמה עבור gMSA באמצעות ה- cmdlet של PowerShell New-ADServiceAccount.

  3. הענק ל- gMSA את הגישה הנדרשת לסביבה הנערכת לפי התיעוד המהווה דרישה מוקדמת עבור ההערכה הרלוונטית שתצורתה נקבעה.

הקצה מפתח בסיס של KDS

יש ליצור תחילה את מפתח הבסיס של KDS אם הוא מעולם לא נוצר ביער Active Directory.  כדי לקבוע אם קיים מפתח בסיס קיים של KDS, הפעל את הפקודה הבאה מתוך הפעלת PowerShell.

Get-KdsRootKey

הערה

אם לא מוחזר דבר מפקודה זו, לא קיים מפתח בסיס ביער Active Directory.

כדי ליצור את מפתח הבסיס של KDS, הפעל את הפקודה הבאה בתוך הפעלת PowerShell מתוך בקר תחום או חבר תחום עם מודול Windows PowerShell Active Directory המותקן באמצעות חשבון עם ההרשאות הדרושות ליצירת חשבונות ב- Active Directory (מנהלי מערכת ארגוניים ומנהלי תחום בתחום הבסיס של היער כברירת מחדל כוללים את ההרשאות הדרושות).

Add-KdsRootKey -EffectiveImmediately 

Add-KdsRootKey -EffectiveImmediately מאפשר יצירה של gMSAs לאחר 10 שעות כדי להבטיח שהשכפול יתכנס לכל מחשבי ה- DCs.

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) 

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) מאפשר ליצור gMSAs באופן מיידי.

גישה זו כרוכה בסיכונים מסוימים של יצירת gMSA שנכשלה או שימוש אם שכפול AD מתכנס ברחבי היער לוקח כמה שעות תחת פעולות רגילות.

יצירת חשבון שירות מנוהל של קבוצה

כדי ליצור את ה- gMSA, הפעל את הפקודה הבאה בתוך הפעלת PowerShell מתוך בקר תחום או חבר תחום במודול Windows PowerShell Active Directory המותקן באמצעות חשבון עם ההרשאות הנחוצות ליצירת חשבונות ב- Active Directory (למפעילי חשבונות או למנהלי תחום יש את ההרשאות הדרושות כברירת מחדל).

New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”

לדוגמה: PS C:> New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"

התקנת gMSA במחשב איסוף נתונים

אחסון ה- gMSA במטמון במחשב איסוף הנתונים משרת שלב אימות חשוב כדי לוודא שהחשבון הוקצה כראוי, ומכונה איסוף הנתונים יכולה לאחזר בהצלחה את סיסמת gMSA ולהשתמש בחשבון. ממחשב איסוף הנתונים המותקן בו מודול PowerShell של Active Directory, הפעל את הפעולות הבאות.

Install-ADServiceAccount -Identity “gMSA samaccountname”

לדוגמה: Install-ADServiceAccount -Identity "gMSA-SVC$"

הערה

אם מוחזרת שגיאה של cmdlet שלא נמצא, התקן את מודול PowerShell של Active Directory שמוסבר בסעיף הקצאת חשבונות שירות מנוהלים לעיל.

לקבלת שגיאות אחרות, עיין בערוץ יומן האירועים של Microsoft-Windows-Security-Netlogon/Operational עבור אירועי קטגוריית MSA.