Membuat akun layanan terkelola grup (gMSA) di Microsoft Entra Domain Services

Artikel
10/19/2023

Aplikasi dan layanan sering membutuhkan identitas untuk mengotentikasi diri mereka dengan sumber daya lain. Misalnya, layanan web perlu mengautentikasi dengan layanan database. Jika sebuah aplikasi atau layanan memiliki beberapa instans, seperti farm server web, membuat dan mengonfigurasi identitas untuk sumber daya tersebut secara manual akan memakan waktu.

Sebagai gantinya, akun layanan terkelola grup (gMSA) dapat dibuat di domain terkelola Microsoft Entra Domain Services. OS Windows secara otomatis mengelola info masuk untuk gMSA, sehingga menyederhanakan pengelolaan grup sumber daya yang besar.

Artikel ini menunjukkan cara membuat gMSA di domain terkelola menggunakan Azure PowerShell.

Sebelum Anda mulai

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

Langganan Azure aktif.
- Jika Anda tidak memiliki langganan Azure, buat akun.
Penyewa Microsoft Entra yang terkait dengan langganan Anda, baik disinkronkan dengan direktori lokal atau direktori khusus cloud.
- Jika diperlukan, buat penyewa Microsoft Entra atau kaitkan langganan Azure dengan akun Anda.
Domain terkelola Microsoft Entra Domain Services diaktifkan dan dikonfigurasi di penyewa Microsoft Entra Anda.
- Jika diperlukan, selesaikan tutorial untuk membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.
VM manajemen Windows Server yang bergabung ke domain terkelola Domain Services.
- Jika diperlukan, selesaikan tutorial membuat komputer virtual manajemen.

Gambaran umum akun layanan terkelola

Akun layanan terkelola tunggal (sMSA) adalah akun domain yang kata sandinya dikelola secara otomatis. Pendekatan ini menyederhanakan pengelolaan nama prinsipal layanan (SPN), dan memungkinkan pendelegasian pengelolaan ke administrator lain. Anda tidak perlu membuat dan memutar info masuk untuk akun ini secara manual.

Akun layanan terkelola grup (gMSA) menyediakan penyederhanaan pengelolaan yang sama untuk beberapa server di domain. gMSA memungkinkan semua instans layanan yang dihosting di farm server untuk menggunakan prinsipal layanan yang sama agar protokol autentikasi bersama berfungsi. Ketika gMSA digunakan sebagai prinsipal layanan, sistem operasi Windows kembali mengelola kata sandi akun dan tidak mengandalkan administrator.

Untuk informasi selengkapnya, lihat gambaran umum akun layanan terkelola grup (gMSA).

Menggunakan akun layanan di Domain Services

Karena domain terkelola dikunci dan dikelola oleh Microsoft, ada beberapa pertimbangan saat menggunakan akun layanan:

Buat akun layanan di unit organisasi (OU) kustom di domain terkelola.
- Anda tidak dapat membuat akun layanan di Pengguna AADDC bawaan atau unit organisasi Komputer AADDC.
- Sebagai gantinya, buat OU kustom di domain terkelola lalu buat akun layanan di OU kustom tersebut.
Kunci akar Layanan Distribusi Utama (KDS) telah dibuat sebelumnya.
- Kunci akar KDS digunakan untuk menghasilkan dan mengambil kata sandi untuk gMSA. Di Layanan Domain, akar KDS dibuat untuk Anda.
- Anda tidak dapat membuat atau melihat kunci akar KDS default lainnya.

Membuat gMSA

Pertama, buat unit organisasi kustom menggunakan cmdlet New-ADOrganizationalUnit. Untuk informasi selengkapnya tentang membuat dan mengelola OU kustom, lihat OU Kustom di Layanan Domain.

Tip

Untuk menyelesaikan langkah-langkah membuat gMSA, gunakan komputer virtual pengelolaan Anda. Komputer virtual pengelolaan ini sudah memiliki cmdlet AD PowerShell dan koneksi ke domain terkelola.

Contoh berikut membuat unit organisasi kustom bernama myNewOU di domain terkelola bernama aaddscontoso.com. Gunakan unit organisasi dan nama domain terkelola Anda sendiri:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Sekarang buat gMSA menggunakan cmdlet New-ADServiceAccount. Contoh parameter berikut sudah ditentukan:

-Name diatur ke WebFarmSvc
Parameter -Path menetapkan unit organisasi kustom untuk gMSA yang dibuat di langkah sebelumnya.
Entry DNS dan nama prinsipal layanan diatur untuk WebFarmSvc.aaddscontoso.com
Prinsipal di AADDSCONTOSO-SERVER$ diizinkan untuk mengambil kata sandi dan menggunakan identitas.

Tentukan nama dan nama domain Anda sendiri.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Aplikasi dan layanan sekarang dapat dikonfigurasi untuk menggunakan gMSA sesuai kebutuhan.

Langkah berikutnya

Untuk informasi selengkapnya tentang gMSA, lihat Memulai Akun Layanan Terkelola Grup.

Bagikan melalui