Megosztás a következőn keresztül:

Értékelések futtatása felügyelt szolgáltatásfiókokkal

  • Cikk

A felügyeltszolgáltatás-fiókok (MSA-k) az Active Directory tartományi szolgáltatások jelenleg támogatott verzióiban elérhető rendszerbiztonsági tagok. A számítógépek és a felhasználói rendszerbiztonsági tagok jellemzői is közösek. Hozzáadhatók biztonsági csoportokhoz, hitelesíthetők és hozzáférhetnek a hálózaton lévő erőforrásokhoz. Ezeket a szolgáltatások, az IIS-alkalmazáskészletek és az ütemezett tevékenységek használják.

A felügyeltszolgáltatás-fiókok előnyei

A felügyeltszolgáltatás-fiókok a felhasználói fiókok szolgáltatások, ütemezett feladatok és IIS-alkalmazáskészletek futtatásához való használatával járó konkrét kihívásokkal foglalkoznak:

  • Automatikus jelszókezelés
  • Egyszerű szolgáltatásnév (SPN) kezelése
  • Nem használható interaktív bejelentkezéshez a Windowsba
  • Könnyen szabályozhatja, hogy mely számítógépek hitelesítették az MSA-kat, és futtassa a kódot a környezetükben

Felügyelt szolgáltatásfiókokat használó igény szerinti értékelések

A felügyeltszolgáltatás-fiókok a következő igény szerinti értékelések futtatására konfigurálhatók

  • Active Directory
  • Active Directory-biztonság
  • System Center Configuration Manager
  • SharePoint
  • SQL Server
  • Windows-ügyfél
  • Windows Server

Megjegyzés:

A Microsoft ügyfélszolgálata bizonyos környezeti konfigurációk esetében hivatalosan nem támogatja a felügyelt szolgáltatásfiókokat. Bár a legtöbb forgatókönyvben működnek, előfordulhat, hogy tartományi fiókot kell használni, ha a környezeti konfigurációk megakadályozzák a felügyelt szolgáltatásfiók használatát.

Felügyeltszolgáltatás-fiókok kiépítése

Az értékelési ütemezett feladatok MSA-ként való konfigurálásának előfeltétele az MSA kiépítése vagy létrehozása Active Directory tartományi szolgáltatások. A támogatott értékelések mindegyike meghatározza az ütemezett feladatfiók engedélyezési és hozzáférési követelményeit a sikeres futtatáshoz. Az ütemezett feladatfiók hozzáférési követelményekkel kapcsolatos részleteiért tekintse meg a támogatott értékelés első lépéseit ismertető dokumentumokat és az előfeltételként szolgáló dokumentumokat .

A felügyeltszolgáltatás-fiókoknak két típusa van. A támogatott értékelésekhez konfigurálható az értékelés ütemezett feladatához:

  • Az önálló felügyeltszolgáltatás-fiókok (más néven virtuális fiókok) csak egyetlen tartományhoz csatlakoztatott számítógépen hitelesíthetők.
  • A csoportosan felügyelt szolgáltatásfiókok több tartományi számítógépen is hitelesíthetők.

Az Windows PowerShell Active Directory modul szükséges mindkét típusú MSA kiépítéséhez és konfigurálásához. A tartományvezérlők általában a tartományvezérlői szerepkör telepítése során telepítik ezt a PowerShell-modult.

A modul, amely a Távoli kiszolgálói rendszergazdai eszközök összetevője, Kiszolgálókezelő keresztül adható hozzá a Windows Server termékváltozataihoz. A modul Windows 10 is hozzáadható.

1. forgatókönyv – Önálló felügyeltszolgáltatás-fiók (sMSA)

Active Directory tartományi szolgáltatások erdős sémának legalább Windows Server 2008 R2-n kell lennie az önálló felügyelt szolgáltatásfiókok sikeres kiépítéséhez. Az ütemezett feladatokat sMSA-ként futtató számítógépeknek Windows Server 2012 vagy újabb rendszert kell futtatniuk.

Az sMSA üzembe helyezésének három lépése van az igény szerinti értékelések futtatásához:

  1. Hozza létre az sMSA-t New-ADServiceAccount PowerShell-parancsmag használatával.
  2. Engedélyezze az adatgyűjtési gép számára az sMSA jelszavának beszerzését Add-ADComputerServiceAccount PowerShell-parancsmag használatával.
  3. Adja meg az sMSA számára a megfelelő értékelés konfigurálásához szükséges hozzáférést az értékelt környezethez az előfeltételként megadott dokumentáció alapján.

Önálló felügyeltszolgáltatás-fiók létrehozása

Az sMSA létrehozásához hajtsa végre a következő parancsot egy PowerShell-munkamenetben egy olyan tartományvezérlőről vagy tartományvezérlő tagról, amelyen telepítve van a Windows PowerShell Active Directory modul egy olyan fiókkal, amely rendelkezik a fiókok Active Directoryban való létrehozásához szükséges engedélyekkel (a fiókkezelők vagy a tartományi rendszergazdák alapértelmezés szerint rendelkeznek a szükséges engedélyekkel).

New-ADServiceAccount -Name <sMSAaccountname>  -RestrictToSingleComputer

Például: PS C:> New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer

Adatgyűjtési gép engedélyezése az sMSA használatára

Ha engedélyezni szeretné az adatgyűjtési gép számára az sMSA jelszavának beszerzését, hajtsa végre a következő parancsot egy PowerShell-munkameneten belül egy tartományvezérlőről vagy egy tartományvezérlőről, amelyen telepítve van a Windows PowerShell Active Directory modul egy olyan fiókkal, amely rendelkezik a fiókok Active Directoryban való létrehozásához szükséges engedélyekkel (a fiókkezelők vagy a tartományi rendszergazdák alapértelmezés szerint rendelkeznek a szükséges engedélyekkel).

Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”

Például: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"

Az sMSA telepítése adatgyűjtési gépen

Az sMSA előzetes gyorsítótárazása az adatgyűjtési gépen fontos ellenőrzési lépés annak biztosítása érdekében, hogy a fiók megfelelően legyen kiépítve, és az adatgyűjtési gép sikeresen lekérhesse az sMSA-jelszót, és használhassa a fiókot. Futtassa a következőt az adatgyűjtési gépen, amelyen telepítve van az Active Directory PowerShell-modul.

Install-ADServiceAccount -Identity “sMSA samaccountname”

Például: Install-ADServiceAccount -Identity "sMSA-SVC$"

Megjegyzés:

Ha egy parancsmag nem található hibát ad vissza, telepítse az Active Directory PowerShell-modult, amely a fenti Felügyelt szolgáltatásfiókok kiépítése című szakaszban található.

Egyéb hibák esetén tekintse át a Microsoft-Windows-Security-Netlogon/Operational eseménynapló-csatornát az MSA-kategóriaeseményekhez.

2. forgatókönyv – Csoportosan felügyelt szolgáltatásfiók (gMSA)

Active Directory tartományi szolgáltatások erdő sémájának legalább Windows Server 2012-en kell lennie a csoport által felügyelt szolgáltatásfiókok sikeres kiépítéséhez. Az ütemezett feladatokat gMSA-ként futtató számítógépeknek Windows Server 2012 vagy újabb rendszert kell futtatniuk.

A gMSA igény szerinti értékelések futtatásához való kiépítésének három lépése van:

  1. Hozza létre a kulcsterjesztési szolgáltatások KDS-gyökérkulcsát az Active Directoryban a Add-KDSRootKey
  2. Hozza létre a gMSA-t, és engedélyezze az adatgyűjtési gép számára a gMSA jelszavának beszerzését New-ADServiceAccount PowerShell-parancsmag használatával.
  3. Adja meg a gMSA számára a kiértékelendő környezethez való szükséges hozzáférést a konfigurált megfelelő értékelés előfeltételeinek dokumentációja alapján.

KDS-gyökérkulcs kiépítése

A KDS-gyökérkulcsot először létre kell hozni, ha még soha nem lett létrehozva az Active Directory-erdőben.  Annak megállapításához, hogy van-e meglévő KDS-gyökérkulcs, hajtsa végre a következő parancsot egy PowerShell-munkamenetből.

Get-KdsRootKey

Megjegyzés:

Ha a parancs nem ad vissza semmit, akkor nincs gyökérkulcs az Active Directory-erdőben.

A KDS-gyökérkulcs létrehozásához hajtsa végre a következő parancsot egy PowerShell-munkamenetben egy olyan tartományvezérlőről vagy tartományvezérlő tagról, amelyen telepítve van a Windows PowerShell Active Directory modul egy olyan fiókkal, amely rendelkezik a fiókok Active Directoryban való létrehozásához szükséges engedélyekkel (alapértelmezés szerint a vállalati rendszergazdák és tartományi rendszergazdák az erdő gyökértartományában rendelkeznek a szükséges engedélyekkel).

Add-KdsRootKey -EffectiveImmediately

Add-KdsRootKey -EffectiveImmediately lehetővé teszi a gMSA-k létrehozását 10 óra elteltével annak biztosítása érdekében, hogy a replikáció az összes diagnosztika felé átszervezett legyen.

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) lehetővé teszi a gMSA-k azonnali létrehozását.

Ez a megközelítés a gMSA sikertelen létrehozásának vagy használatának bizonyos kockázatával jár, ha az AD-replikáció konvergenciaerdője a szokásos műveletek során több órát vesz igénybe.

Csoportosan felügyelt szolgáltatásfiók létrehozása

A gMSA létrehozásához hajtsa végre a következő parancsot egy PowerShell-munkamenetben egy olyan tartományvezérlőről vagy tartományvezérlőről, amelyen telepítve van a Windows PowerShell Active Directory modul egy olyan fiókkal, amely rendelkezik a fiókok Active Directoryban való létrehozásához szükséges engedélyekkel (a fiókkezelők vagy a tartományi rendszergazdák alapértelmezés szerint rendelkeznek a szükséges engedélyekkel).

New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”

Például: PS C:> New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"

A gMSA telepítése adatgyűjtési gépen

Az adatgyűjtési gépen a gMSA előzetes gyorsítótárazása egy fontos ellenőrzési lépés, amely biztosítja, hogy a fiók megfelelően legyen kiépítve, és az adatgyűjtési gép sikeresen lekérhesse a gMSA-jelszót, és használhassa a fiókot. Futtassa a következőt az adatgyűjtési gépen, amelyen telepítve van az Active Directory PowerShell-modul.

Install-ADServiceAccount -Identity “gMSA samaccountname”

Például: Install-ADServiceAccount -Identity "gMSA-SVC$"

Megjegyzés:

Ha egy parancsmag nem található hibát ad vissza, telepítse az Active Directory PowerShell-modult, amely a fenti Felügyelt szolgáltatásfiókok kiépítése című szakaszban található.

Egyéb hibák esetén tekintse át a Microsoft-Windows-Security-Netlogon/Operational eseménynapló-csatornát az MSA-kategóriaeseményekhez.