Csoport által felügyelt szolgáltatásfiók (gMSA) létrehozása a Microsoft Entra Domain Servicesben

Az alkalmazásoknak és szolgáltatásoknak gyakran szükségük van egy identitásra, hogy más erőforrásokkal hitelesítsék magukat. Előfordulhat például, hogy egy webszolgáltatásnak adatbázis-szolgáltatással kell hitelesítenie magát. Ha egy alkalmazás vagy szolgáltatás több példányt ( például webkiszolgálófarmot) is használ, az erőforrások identitásainak manuális létrehozása és konfigurálása időigényes lesz.

Ehelyett létrehozhat egy csoport által felügyelt szolgáltatásfiókot (gMSA) a Microsoft Entra Domain Services felügyelt tartományában. A Windows operációs rendszer automatikusan kezeli a gMSA hitelesítő adatait, ami leegyszerűsíti a nagy erőforráscsoportok kezelését.

Ez a cikk bemutatja, hogyan hozhat létre gMSA-t felügyelt tartományban az Azure PowerShell használatával.

Előkészületek

A cikk elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

• Aktív Azure-előfizetés.
  • Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
• Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
  • Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy rendelje hozzá az Azure-előfizetést a fiókjához.
• A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
  • Ha szükséges, végezze el az oktatóanyagot egy Felügyelt Microsoft Entra Domain Services-tartomány létrehozásához és konfigurálásához.
• A Domain Services által felügyelt tartományhoz csatlakoztatott Windows Server felügyeleti virtuális gép.
  • Ha szükséges, végezze el az oktatóanyagot egy felügyeleti virtuális gép létrehozásához.

Felügyelt szolgáltatásfiókok áttekintése

Az önálló felügyelt szolgáltatásfiók (sMSA) egy olyan tartományi fiók, amelynek jelszava automatikusan felügyelve van. Ez a módszer leegyszerűsíti a szolgáltatásnév (SPN) kezelését, és lehetővé teszi a delegált felügyeletet más rendszergazdák számára. Nem kell manuálisan létrehoznia és elforgatnia a fiók hitelesítő adatait.

A csoport által felügyelt szolgáltatásfiók (gMSA) ugyanazt a felügyeleti egyszerűsítést biztosítja, de a tartomány több kiszolgálója esetében is. A gMSA lehetővé teszi, hogy egy kiszolgálófarmon üzemeltetett szolgáltatás minden példánya ugyanazt a szolgáltatásnevet használja a kölcsönös hitelesítési protokollok működéséhez. Ha szolgáltatásnévként gMSA-t használ, a Windows operációs rendszer a rendszergazda helyett ismét kezeli a fiók jelszavát.

További információkért tekintse meg a csoport által felügyelt szolgáltatásfiókok (gMSA) áttekintését.

Szolgáltatásfiókok használata a Domain Servicesben

Mivel a felügyelt tartományokat a Microsoft zárolja és felügyeli, a szolgáltatásfiókok használata során figyelembe kell vennie néhány szempontot:

• Szolgáltatásfiókok létrehozása egyéni szervezeti egységekben (OU) a felügyelt tartományon.
  • Nem hozhat létre szolgáltatásfiókot a beépített AADDC-felhasználókban vagy az AADDC-számítógépek szervezeti egységeiben.
  • Ehelyett hozzon létre egy egyéni szervezeti egységet a felügyelt tartományban, majd hozzon létre szolgáltatásfiókokat az egyéni szervezeti egységben.
• A Kulcsterjesztési szolgáltatások (KDS) gyökérkulcsa előre létrejön.
  • A KDS gyökérkulcsa a gMSA-k jelszavainak létrehozására és lekérésére szolgál. A Domain Servicesben létrejön a KDS-gyökér.
  • Nem rendelkezik jogosultságokkal egy másik létrehozásához vagy az alapértelmezett KDS-gyökérkulcs megtekintéséhez.

GMSA létrehozása

Először hozzon létre egy egyéni szervezeti egységet a New-ADOrganizationalUnit parancsmaggal. Az egyéni szervezeti egységek létrehozásával és kezelésével kapcsolatos további információkért lásd: Egyéni szervezeti egységek a Domain Servicesben.

Tipp.

A gMSA létrehozásához szükséges lépések végrehajtásához használja a felügyeleti virtuális gépet. Ennek a felügyeleti virtuális gépnek már rendelkeznie kell a szükséges AD PowerShell-parancsmagokkal és a felügyelt tartománnyal való kapcsolattal.

Az alábbi példa létrehoz egy myNewOU nevű egyéni szervezeti egységet a aaddscontoso.com nevű felügyelt tartományban. Saját szervezeti egység és felügyelt tartománynév használata:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Most hozzon létre egy gMSA-t a New-ADServiceAccount parancsmaggal. A következő példaparaméterek vannak definiálva:

• -A név a WebFarmSvc értékre van állítva
• A -Path paraméter az előző lépésben létrehozott gMSA egyéni szervezeti egységét adja meg.
• A DNS-bejegyzések és a szolgáltatásnévnevek a WebFarmSvc.aaddscontoso.com
• Az AADDSCONTOSO-Standard kiadás RVER$ rendszerbiztonsági tagjai kérhetik le a jelszót, és használhatják az identitást.

Adja meg a saját nevét és tartományneveit.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Az alkalmazások és szolgáltatások mostantól konfigurálhatók úgy, hogy szükség szerint használják a gMSA-t.

További lépések

A gMSA-kkal kapcsolatos további információkért tekintse meg a csoport által felügyelt szolgáltatásfiókok használatának első lépéseit.