Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini untuk profesional TI memperkenalkan grup Managed Service Account (gMSA) dengan menjelaskan aplikasi praktis, perubahan dalam implementasi Microsoft, serta persyaratan perangkat keras dan perangkat lunak.
Feature description
Akun Layanan Terkelola mandiri (sMSA) adalah akun domain terkelola yang menyediakan manajemen kata sandi otomatis, manajemen nama prinsipal layanan (SPN) yang disederhanakan, dan kemampuan untuk mendelegasikan manajemen kepada administrator lain. Administrator domain dapat mendelegasikan manajemen layanan kepada administrator layanan, yang dapat mengelola seluruh siklus hidup Akun Layanan Terkelola atau Akun Layanan Terkelola grup. Komputer klien yang ada dapat mengautentikasi ke layanan tersebut tanpa mengetahui instans layanan mana yang mereka autentikasi. Jenis akun layanan terkelola (MSA) ini diperkenalkan di Windows Server 2008 R2 dan Windows 7.
Grup Akun Layanan Terkelola (gMSA) menyediakan fungsionalitas yang sama dalam domain dan juga memperluas fungsionalitas tersebut melalui beberapa server. Ini meminimalkan overhead administratif akun layanan dengan memungkinkan Windows menangani manajemen kata sandi untuk akun-akun ini. Saat Anda terhubung ke layanan yang dihosting di farm server, seperti solusi Network Load Balanced, protokol autentikasi yang mendukung autentikasi bersama mengharuskan semua instans layanan untuk menggunakan prinsipal yang sama. Ketika Anda menggunakan gMSA sebagai perwakilan layanan, sistem operasi Windows mengelola kata sandi untuk akun alih-alih mengandalkan administrator untuk mengelola kata sandi.
Layanan Distribusi Kunci Microsoft (kdssvc.dll) memungkinkan Anda mendapatkan kunci terbaru atau kunci tertentu dengan aman dengan pengidentifikasi kunci untuk akun Direktori Aktif. Layanan Distribusi Kunci berbagi rahasia yang digunakan untuk membuat kunci untuk akun tersebut. Kunci ini berubah secara berkala. Untuk gMSA, pengendali domain menghitung kata sandi pada kunci yang disediakan Layanan Distribusi Kunci, bersama dengan atribut lain dari gMSA. Host anggota dapat memperoleh nilai kata sandi saat ini dan sebelumnya dengan menghubungi pengendali domain.
Practical applications
gMSA menyediakan solusi identitas tunggal untuk layanan yang berjalan di farm server atau pada sistem di belakang Network Load Balancer. Dengan menyediakan solusi gMSA, Anda dapat mengonfigurasi layanan untuk perwakilan gMSA baru saat Windows menangani manajemen kata sandi.
Saat administrator layanan atau layanan menggunakan gMSA, mereka tidak perlu mengelola sinkronisasi kata sandi antar instans layanan. GMSA mendukung host yang disimpan offline untuk jangka waktu yang lama dan mengelola host anggota untuk semua instans layanan. Anda dapat menerapkan farm server yang mendukung satu identitas sehingga komputer klien yang ada dapat mengautentikasi tanpa harus mengetahui instance layanan mana yang mereka sambungkan.
Meskipun kluster failover tidak memberikan dukungan untuk gMSA, layanan yang beroperasi pada layanan Kluster dapat menggunakan gMSA atau sMSA jika mereka adalah layanan Windows, kumpulan aplikasi, tugas terjadwal, atau secara asli mendukung gMSA atau sMSA.
Software requirements
Untuk menjalankan perintah Windows PowerShell, Anda perlu mengelola gMSA, Anda harus memiliki arsitektur 64-bit.
Akun layanan terkelola bergantung pada jenis enkripsi yang didukung Kerberos. Saat komputer klien mengautentikasi ke server menggunakan Kerberos, DC membuat tiket layanan Kerberos yang dilindungi dengan enkripsi yang didukung DC dan server. The DC uses the account's msDS-SupportedEncryptionTypes attribute to determine what encryption the server supports. Jika tidak ada atribut, DC memperlakukan komputer klien seperti tidak mendukung jenis enkripsi yang lebih kuat. Jika Anda telah mengonfigurasi host untuk tidak mendukung RC4, autentikasi selalu gagal. Untuk alasan ini, Anda harus selalu mengonfigurasi AES untuk MSA.
Note
Pada Windows Server 2008 R2, DES dinonaktifkan secara default. Untuk informasi selengkapnya tentang jenis enkripsi yang didukung, lihat Perubahan di Autentikasi Kerberos.
Note
gMSA tidak berlaku untuk sistem operasi Windows yang lebih lama dari Windows Server 2012. Untuk Windows Server 2012, cmdlet Windows PowerShell secara default mengelola gMSA alih-alih Managed Service Accounts server.
Informasi Manajer Server
Anda tidak perlu melakukan konfigurasi tambahan untuk mengimplementasikan MSA dan gMSA menggunakan Server Manager atau Install-WindowsFeature cmdlet.
Next steps
Berikut adalah beberapa sumber daya lain yang dapat Anda baca untuk mempelajari selengkapnya tentang Akun Layanan Terkelola:
- Dokumentasi Akun Layanan Terkelola untuk Windows 7 dan Windows Server 2008 R2
- Panduan Langkah demi Langkah Akun Layanan
- Mengelola Akun Layanan Terkelola Grup
- Akun Layanan Terkelola di Active Directory Domain Services
- Akun Layanan Terkelola: Memahami, Menerapkan, Praktik Terbaik, dan Pemecahan Masalah
- Gambaran Umum Active Directory Domain Services