Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dalam artikel ini, pelajari cara mengaktifkan dan menggunakan Akun Layanan Terkelola grup (gMSA) di Windows Server.
Protokol autentikasi yang mendukung autentikasi bersama seperti Kerberos tidak dapat digunakan kecuali semua instans layanan menggunakan prinsipal yang sama. Misalnya, ketika komputer klien terhubung ke layanan yang menggunakan penyeimbangan beban atau metode lain di mana semua server tampaknya merupakan layanan yang sama dengan klien. Artinya setiap layanan harus menggunakan kata sandi atau kunci yang sama untuk membuktikan identitas mereka. Akun Layanan Terkelola Grup adalah jenis akun yang dapat digunakan dengan beberapa server. gMSA adalah akun domain yang dapat digunakan untuk menjalankan layanan di beberapa server tanpa harus mengelola kata sandi. gMSA menyediakan manajemen kata sandi otomatis dan manajemen nama prinsipal layanan (SPN) yang disederhanakan, termasuk delegasi manajemen kepada administrator lain.
Note
Kluster failover tidak mendukung gMSA. Namun, layanan yang berjalan di atas layanan Kluster dapat menggunakan gMSA atau sMSA jika mereka adalah layanan Windows, kumpulan Aplikasi, tugas terjadwal, atau secara asli mendukung gMSA atau sMSA.
Layanan dapat memilih prinsipal yang akan digunakan. Setiap jenis utama mendukung layanan yang berbeda dan memiliki batasan yang berbeda.
| Principals | Services supported | Password management |
|---|---|---|
| Akun Komputer sistem Windows | Terbatas pada satu server yang tergabung dalam domain | Computer manages |
| Akun Komputer tanpa sistem Windows | Server yang bergabung dengan domain apa pun | None |
| Virtual Account | Terbatas pada satu server | Computer manages |
| Akun Layanan Terkelola mandiri Windows | Terbatas pada satu server yang tergabung dalam domain | Computer manages |
| User Account | Server yang bergabung dengan domain apa pun | None |
| Akun Layanan Terkelola Grup | Server yang bergabung dengan domain Windows Server apa pun | Pengendali domain mengelola, dan host memulihkan |
Akun komputer Windows, Akun Layanan Terkelola mandiri Windows (sMSA), atau akun virtual tidak dapat dibagikan di beberapa sistem. Saat Anda menggunakan akun virtual, identitas juga lokal ke komputer dan tidak dikenali oleh domain. Jika Anda mengonfigurasi satu akun untuk layanan di farm server untuk dibagikan, Anda harus memilih akun pengguna atau akun komputer selain dari sistem Windows. Bagaimanapun, akun-akun ini tidak memiliki kemampuan manajemen kata sandi satu titik kontrol. Tanpa manajemen kata sandi, setiap organisasi perlu memperbarui kunci untuk layanan di Direktori Aktif (AD) dan mendistribusikan kunci ini ke semua instans layanan tersebut.
Dengan Windows Server, administrator layanan dan layanan tidak perlu mengelola sinkronisasi kata sandi antara instans layanan saat menggunakan gMSA. Anda membuat gMSA di AD lalu mengonfigurasi layanan yang mendukung Akun Layanan Terkelola. Penggunaan gMSA dilingkupkan ke komputer apa pun yang dapat menggunakan Lightweight Directory Access Protocol (LDAP) untuk mengambil kredensial gMSA. Anda dapat membuat gMSA menggunakan New-ADServiceAccount cmdlet yang merupakan bagian dari modul AD. Layanan berikut mendukung konfigurasi identitas layanan pada host.
API yang sama dengan sMSA, sehingga produk yang mendukung sMSA mendukung gMSA
Layanan yang menggunakan Service Control Manager untuk mengonfigurasi identitas masuk
Services that use the Internet Information Services (IIS) manager for application pools to configure identity
Tasks using Task Scheduler.
Prerequisites
Untuk mengelola gMSA, perangkat Anda harus memenuhi persyaratan berikut:
Perangkat Anda harus menginstal peran Active Directory Domain Services (AD DS). Untuk mempelajari selengkapnya, lihat Menambahkan atau menghapus peran dan fitur di Windows Server.
You must be a member of the Domain Admins or Enterprise Admins group.
Tingkat fungsional domain dan forest harus diatur ke Windows Server 2012 atau versi yang lebih baru untuk mendukung fitur gMSA pada semua perangkat. Untuk informasi lebih lanjut tentang bagaimana memperbarui skema, lihat Meningkatkan tingkat fungsional domain dan hutan di Active Directory Domain Services.
Kunci akar Key Distribution Services (KDS) harus dibuat di domain untuk manajemen kata sandi yang aman. Verifikasi pembuatannya menggunakan log Operasional KdsSvc (ID Peristiwa 4004). Untuk mempelajari selengkapnya tentang membuat kunci akar KDS (kdssvc.dll), lihat Membuat Kunci Akar KDS Layanan Distribusi Utama.
Tip
Untuk mengontrol host atau layanan mana yang dapat menggunakan gMSA, tambahkan akun komputer mereka ke grup keamanan yang ditunjuk (baik baru atau yang sudah ada) dan tetapkan izin yang diperlukan ke grup ini. Demikian juga, gunakan grup keamanan untuk mengelola akses untuk layanan yang berjalan di bawah gMSA, memastikan grup memiliki semua izin yang diperlukan untuk operasi layanan dan akses sumber daya.
Agar autentikasi Kerberos berfungsi dengan layanan menggunakan gMSA, berikut ini diperlukan:
Pastikan SPNs terdaftar dengan benar untuk setiap layanan yang menggunakan gMSA. Ini memungkinkan Kerberos mengidentifikasi dan mengautentikasi layanan.
Pastikan rekaman DNS disiapkan dengan benar untuk resolusi nama, yang diandalkan Kerberos untuk menemukan layanan domain.
Pastikan bahwa firewall dan kebijakan jaringan memungkinkan lalu lintas Kerberos dan komunikasi layanan yang diperlukan.
Untuk pengaturan masa pakai tiket Kerberos, konfigurasikan kebijakan kedaluwarsa dan perpanjangan tiket sesuai dengan persyaratan keamanan dan operasional Anda.
Semua sistem yang terlibat dalam proses autentikasi harus memiliki jam yang disinkronkan. Kerberos sensitif terhadap konfigurasi waktu, dan perbedaan dapat menyebabkan kegagalan autentikasi.
Jika Anda mengelola AD dari komputer yang bukan pengontrol domain, instal Remote Server Administration Tools (RSAT) untuk mengakses fitur manajemen yang diperlukan. RSAT menyediakan modul AD untuk PowerShell. Setelah menginstal RSAT, buka PowerShell sebagai administrator dan jalankan Import-Module ActiveDirectory untuk mengaktifkan cmdlet manajemen AD. Ini memungkinkan administrator untuk mengelola AD dari jarak jauh dan aman, meminimalkan beban pada pengontrol domain.
Membuat gMSA
Untuk membuat gMSA menggunakan PowerShell, ikuti langkah-langkah ini di jendela PowerShell yang ditingkatkan:
Important
Nama akun gMSA harus unik di tingkat hutan dan bukan hanya pada domain. Mencoba membuat akun gMSA dengan nama duplikat gagal, bahkan di domain yang berbeda.
Buat Kunci Akar KDS, jika tidak ada, dengan mengikuti panduan dalam Create the Key Distribution Services KDS Root Key. Jika kunci sudah ada, lewati langkah ini.
Untuk membuat gMSA, jalankan perintah berikut. Ganti
<gMSAName>dengan nama gMSA yang Anda inginkan dan<domain>dengan nama domain Anda. Ganti<SecurityGroup>dengan nama grup keamanan atau akun komputer yang seharusnya memiliki akses untuk mengambil kata sandi gMSA.New-ADServiceAccount -Name <gMSAName> -DNSHostName <gMSAName>.<domain> -PrincipalsAllowedToRetrieveManagedPassword <SecurityGroup>Untuk membuat gMSA hanya untuk autentikasi keluar, jalankan perintah berikut. Ganti
<Days>dengan nilai numerik. Jika nilai tidak disediakan, maka secara otomatis akan menjadi30hari.New-ADServiceAccount -Name <gMSAName> -DNSHostName <gMSAName>.<domain> -RestrictToOutboundAuthenticationOnly -ManagedPasswordIntervalInDays <Days> -PrincipalsAllowedToRetrieveManagedPassword <SecurityGroup>Important
Interval perubahan kata sandi hanya dapat diatur selama pembuatan. Jika Anda perlu mengubah interval, Anda harus membuat gMSA baru dan mengaturnya pada waktu pembuatan.
Pada setiap komputer yang menggunakan gMSA, jalankan perintah berikut untuk menginstal gMSA pada perangkat target. Ganti
<gMSAName>dengan nama gMSA yang Anda buat.Install-ADServiceAccount -Identity <gMSAName>Jalankan perintah berikut untuk memverifikasi penginstalan gMSA dilakukan pada perangkat target.
Test-ADServiceAccount -Identity <gMSAName>
Keanggotaan dalam grup keamanan yang sesuai atau memiliki izin yang didelegasikan yang diperlukan untuk membuat msDS-GroupManagedServiceAccount objek diperlukan untuk menyelesaikan prosedur ini. While members of Account Operators can manage certain user and group objects in AD, they don't have default rights to create gMSAs unless those permissions are delegated to them. Untuk informasi terperinci tentang menggunakan akun dan keanggotaan grup yang sesuai, lihat Grup keamanan Direktori Aktif.
Anda juga dapat memperbarui properti gMSA menggunakan Set-ADServiceAccount cmdlet. Misalnya, untuk memperbarui nama tampilan komputer, jalankan perintah <gMSAName> berikut mengganti dan <NewDisplayName> dengan nilai Anda:
Set-ADServiceAccount -Identity "<gMSAName>" -DisplayName "<NewDisplayName>"
For detailed information on how to set other properties for the gMSA, see Set-ADServiceAccount.
Memverifikasi perubahan pada gMSA
Setelah membuat perubahan pada gMSA, Anda dapat memverifikasi apakah gMSA diperbarui dengan benar. Perubahan ini termasuk menambahkan, menghapus, dan meng-uninstal gMSA. Anda juga dapat melakukan langkah ini kapan saja ketika pembaruan dilakukan pada properti gMSA.
Jalankan perintah berikut dengan mengganti <gMSAName> dengan nama gMSA yang Anda buat:
Get-ADServiceAccount -Identity "<gMSAName>" | Select-Object *
Menambahkan host anggota ke grup keamanan
Note
Group-centric management (
Add-ADGroupMember/Remove-ADGroupMember): Use these cmdlets when you want to manage the membership of a specific group. Mereka paling cocok untuk menambahkan atau menghapus beberapa pengguna, komputer, atau objek lain ke atau dari satu grup secara efisien.Principal-centric management (
Add-ADPrincipalGroupMembership/Remove-ADPrincipalGroupMembership): Choose these cmdlets when your goal is to manage a specific user or computer's membership across multiple groups. Mereka memungkinkan Anda untuk menambahkan atau menghapus prinsipal dari beberapa grup dalam satu operasi, sehingga lebih mudah untuk memperbarui afiliasi grup untuk akun individual.
Jika Anda menggunakan grup keamanan untuk mengelola host anggota, tambahkan akun komputer untuk host anggota baru ke grup keamanan yang berisi host anggota gMSA. Anda dapat melakukan ini menggunakan salah satu metode berikut:
Untuk menggunakan snap-in Pengguna dan Komputer Direktori Aktif (ADUC), lihat Menambahkan akun komputer ke grup dan Mengelola Akun Pengguna di Pengguna Direktori Aktif dan Komputer.
Jika menggunakan akun komputer, temukan akun yang sudah ada lalu tambahkan akun komputer baru.
Menghapus host anggota dari grup keamanan
Untuk menggunakan snap-in ADUC, lihat Menghapus Akun Komputer dan Menghapus akun pengguna.
Menghapus gMSA dari sistem Anda
Meskipun Anda tidak dapat menghapus instalan gMSA di ADUC, Anda dapat menghapus gMSA secara manual dengan menemukannya di kontainer Akun Layanan Terkelola dan menghapusnya seperti objek AD lainnya. Namun, perlu diingat bahwa ini tidak akan melakukan operasi pembersihan yang sama seperti yang dilakukan oleh Uninstall-ADServiceAccount di PowerShell.
Untuk menghapus instalan gMSA, buka jendela PowerShell yang ditingkatkan dan ikuti langkah-langkah ini.
Untuk menghapus satu gMSA dari lingkungan Anda, jalankan perintah berikut, ganti
<gMSAName>dengan nilai Anda:Uninstall-ADServiceAccount -Identity <gMSAName>Untuk menghapus beberapa gMSA dari lingkungan Anda, jalankan perintah berikut dan ganti
<gMSA#$>dengan nilai Anda.$gMSANames = @("gMSA1$", "gMSA2$", "gMSA3$") foreach ($gMSAs in $gMSANames) { Uninstall-ADServiceAccount -Identity $gMSAs }
For more information about the Uninstall-ADServiceAccount cmdlet, see Uninstall-ADServiceAccount.