Mulai menggunakan Akun Layanan Terkelola Grup
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Dalam artikel ini, pelajari cara mengaktifkan dan menggunakan Akun Layanan Terkelola grup di Windows Server.
Protokol autentikasi yang mendukung autentikasi bersama seperti Kerberos tidak dapat digunakan kecuali semua instans layanan menggunakan prinsipal yang sama. Misalnya, ketika komputer klien terhubung ke layanan yang menggunakan penyeimbangan beban atau metode lain di mana semua server tampaknya merupakan layanan yang sama dengan klien. Artinya setiap layanan harus menggunakan kata sandi atau kunci yang sama untuk membuktikan identitas mereka. Akun Layanan Terkelola Grup (gMSA) adalah jenis akun yang dapat digunakan dengan beberapa server. gMSA adalah akun domain yang dapat digunakan untuk menjalankan layanan di beberapa server tanpa harus mengelola kata sandi. gMSA menyediakan manajemen kata sandi otomatis dan manajemen nama prinsipal layanan (SPN) yang disederhanakan, termasuk delegasi manajemen kepada administrator lain.
Catatan
Kluster failover tidak mendukung gMSA. Namun, layanan yang berjalan di atas layanan Kluster dapat menggunakan gMSA atau sMSA jika mereka adalah layanan Windows, kumpulan Aplikasi, tugas terjadwal, atau secara asli mendukung gMSA atau sMSA.
Layanan dapat memilih prinsipal yang akan digunakan. Setiap jenis utama mendukung layanan yang berbeda dan memiliki batasan yang berbeda.
| Principals | Layanan yang didukung | Manajemen kata sandi |
|---|---|---|
| Akun Komputer sistem Windows | Terbatas pada satu server yang bergabung dengan domain | Komputer mengelola |
| Akun Komputer tanpa sistem Windows | Server yang bergabung dengan domain apa pun | Tidak |
| Akun Virtual | Terbatas pada satu server | Komputer mengelola |
| Akun Layanan Terkelola mandiri Windows | Terbatas pada satu server yang bergabung dengan domain | Komputer mengelola |
| Akun pengguna | Server yang bergabung dengan domain apa pun | Tidak |
| Akun Layanan Terkelola Grup | Server yang bergabung dengan domain Windows Server apa pun | Pengendali domain mengelola, dan host mengambil |
Akun komputer Windows, Akun Layanan Terkelola mandiri Windows (sMSA), atau akun virtual tidak dapat dibagikan di beberapa sistem. Saat Anda menggunakan akun virtual, identitas juga lokal ke komputer dan tidak dikenali oleh domain. Jika Anda mengonfigurasi satu akun untuk layanan di farm server untuk dibagikan, Anda harus memilih akun pengguna atau akun komputer selain dari sistem Windows. Bagaimanapun, akun-akun ini tidak memiliki kemampuan manajemen kata sandi satu titik kontrol. Tanpa manajemen kata sandi, setiap organisasi perlu memperbarui kunci untuk layanan di Direktori Aktif dan mendistribusikan kunci ini ke semua instans layanan tersebut.
Dengan Windows Server, administrator layanan dan layanan tidak perlu mengelola sinkronisasi kata sandi antara instans layanan saat menggunakan grup Akun Layanan Terkelola (gMSA). Anda membuat gMSA di AD lalu mengonfigurasi layanan yang mendukung Akun Layanan Terkelola. Penggunaan gMSA dilingkupkan ke komputer apa pun yang dapat menggunakan LDAP untuk mengambil kredensial gMSA. Anda dapat membuat gMSA menggunakan New-ADServiceAccount cmdlet yang merupakan bagian dari modul Direktori Aktif. Layanan berikut mendukung konfigurasi identitas layanan pada host.
API yang sama dengan sMSA, sehingga produk yang mendukung sMSA mendukung gMSA
Layanan yang menggunakan Service Control Manager untuk mengonfigurasi identitas masuk
Layanan yang menggunakan manajer IIS untuk kumpulan aplikasi untuk mengonfigurasi identitas
Tugas menggunakan Penjadwal Tugas.
Prasyarat
Tabel berikut mencantumkan persyaratan sistem operasi agar autentikasi Kerberos berfungsi dengan layanan menggunakan gMSA. Persyaratan Direktori Aktif tercantum setelah tabel.
Arsitektur 64-bit diperlukan untuk menjalankan perintah Windows PowerShell yang digunakan untuk mengelola akun Layanan Terkelola grup.
Sistem operasi
| Elemen | Persyaratan |
|---|---|
| Host Aplikasi Klien | Klien Kerberos yang mematuhi RFC |
| DC domain akun pengguna | KDC yang mematuhi RFC |
| Host anggota layanan bersama | |
| DC domain host anggota | KDC yang mematuhi RFC |
| DC domain akun gMSA | DC Windows Server 2012 tersedia bagi host untuk mengambil kata sandi |
| Host layanan backend | Server aplikasi Kerberos yang sesuai dengan RFC |
| DC domain akun layanan backend | KDC yang mematuhi RFC |
| Windows PowerShell untuk Direktori Aktif | Alat Administrator Server Jarak Jauh Layanan Domain Direktori Aktif |
Layanan Domain Active Directory
Akun Layanan Terkelola Grup memiliki persyaratan berikut di Active Directory Domain Services (AD DS).
Domain Direktori Aktif dan tingkat fungsi forest harus Windows Server 2012 atau yang lebih baru. Untuk mempelajari selengkapnya tentang memperbarui skema, lihat Meningkatkan domain Direktori Aktif dan tingkat fungsional forest.
Jika Anda mengelola izin host layanan untuk menggunakan gMSA menurut grup, maka grup keamanan baru atau yang sudah ada.
Jika mengelola kontrol akses layanan menurut grup, maka grup keamanan baru atau yang sudah ada.
Kunci Akar Layanan Distribusi Utama (KDS) untuk Direktori Aktif harus dibuat di domain. Hasil pembuatannya dapat diverifikasi dalam log Operasional KdsSvc,
Event ID 4004. Untuk mempelajari selengkapnya tentang membuat kunci akar KDS, lihat Membuat Kunci Akar KDS Layanan Distribusi Utama.
Untuk petunjuk cara membuat kunci, lihat Membuat Kunci Akar KDS Layanan Distribusi Utama. Microsoft Key Distribution Service (kdssvc.dll) kunci akar untuk AD.
Menyebarkan farm server baru
Proses pembuatan dan pengelolaan farm server menggunakan fitur gMSA biasanya melibatkan tugas-tugas berikut.
Menyebarkan farm server baru
Menambahkan host anggota ke farm server yang sudah ada
Menonaktifkan host anggota dari farm server yang ada
Menonaktifkan farm server yang ada
Menghapus host anggota yang disusupi dari farm server jika perlu
Saat administrator layanan menyebarkan farm server baru, mereka perlu menentukan informasi berikut.
Layanan ini mendukung penggunaan gMSA
Layanan ini memerlukan koneksi terautentikasi masuk atau keluar
Nama akun komputer untuk host anggota untuk layanan menggunakan gMSA
Nama NetBIOS untuk layanan
Nama host DNS untuk layanan
Nama Perwakilan Layanan (SPN) untuk layanan
Interval perubahan kata sandi (defaultnya adalah 30 hari)
Membuat Akun Layanan Terkelola grup
Anda dapat membuat gMSA hanya jika skema forest adalah Windows Server 2012 atau yang lebih baru. Anda juga harus menyebarkan Kunci Akar KDS untuk Direktori Aktif, dan memiliki setidaknya satu pengontrol domain Windows Server 2012 atau yang lebih baru di domain tempat Anda ingin membuat gMSA.
Penting
Nama akun gMSA harus unik dalam tingkat forest dan bukan hanya domain. Mencoba membuat akun gMSA dengan nama duplikat akan gagal, bahkan di domain yang berbeda.
Keanggotaan di Admin Domain atau kemampuan untuk membuat objek msDS-GroupManagedServiceAccount, adalah minimum yang diperlukan untuk menyelesaikan prosedur berikut.
Untuk membuat gMSA menggunakan PowerShell, ikuti langkah-langkah ini.
Pada pengontrol domain Windows Server 2012, jalankan Windows PowerShell dari Taskbar.
Pada perintah untuk Windows PowerShell, ketik perintah berikut, lalu tekan ENTER. (Modul Direktori Aktif dimuat secara otomatis.)
New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]Catatan
Nilai untuk
-Nameparameter selalu diperlukan (baik Anda menentukan-Nameatau tidak), dengan-DNSHostName,-RestrictToSingleComputer, dan-RestrictToOutboundAuthenticationmenjadi persyaratan sekunder untuk tiga skenario penyebaran.Parameter String Contoh Nama Nama akun ITFarm1 DNSHostName Nama host LAYANAN DNS ITFarm1.contoso.com KerberosEncryptionType Jenis enkripsi apa pun yang didukung oleh server host None, RC4, AES128, AES256 ManagedPasswordIntervalInDays Interval perubahan kata sandi dalam hari (defaultnya adalah 30 hari jika tidak disediakan) 90 PrincipalsAllowedToRetrieveManagedPassword Akun komputer host anggota atau grup keamanan tempat anggota menjadi anggota ITFarmHosts SamAccountName Nama NetBIOS untuk layanan jika tidak sama dengan Nama ITFarm1 ServicePrincipalNames Nama Perwakilan Layanan (SPN) untuk layanan http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01 Penting
Interval perubahan kata sandi hanya dapat diatur selama pembuatan. Jika Anda perlu mengubah interval, Anda harus membuat gMSA baru dan mengaturnya pada waktu pembuatan.
Misalnya, untuk membuat gMSA baru yang dipanggil
ITFarm1untuk grup, gunakan perintah berikut. GMSA memungkinkan layanan untuk menggunakan jenis enkripsi Kerberos RC4, AES128, dan AES256. Layanan ini diizinkan untuk menggunakan SPNhttp/ITFarm1.contoso.com/contoso.com, ,http/ITFarm1.contoso.com/contosohttp/ITFarm1/contoso.com, danhttp/ITFarm1/contoso.Masukkan perintah pada satu baris, meskipun mungkin muncul dibungkus kata di beberapa baris di sini karena batasan pemformatan.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Keanggotaan di Admin Domain, Operator Akun, atau kemampuan untuk membuat msDS-GroupManagedServiceAccount objek, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini. Untuk informasi terperinci tentang menggunakan akun dan keanggotaan grup yang sesuai, lihat Grup keamanan Direktori Aktif.
Untuk membuat gMSA untuk autentikasi keluar hanya menggunakan PowerShell, ikuti langkah-langkahnya.
Pada pengontrol domain Windows Server 2012, jalankan Windows PowerShell dari Taskbar.
Pada perintah untuk modul Direktori Aktif Windows PowerShell, gunakan perintah berikut.
New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]Contoh berikut membuat gMSA menggunakan parameter dalam tabel.
Parameter String Contoh Nama Beri nama akun ITFarm1 ManagedPasswordIntervalInDays Interval perubahan kata sandi dalam hari (defaultnya adalah 30 hari jika tidak disediakan) 75 PrincipalsAllowedToRetrieveManagedPassword Akun komputer host anggota atau grup keamanan tempat anggota menjadi anggota ITFarmHosts Penting
Interval perubahan kata sandi hanya dapat diatur selama pembuatan. Jika Anda perlu mengubah interval, Anda harus membuat gMSA baru dan mengaturnya pada waktu pembuatan.
Contoh perintah menggunakan parameter ini sebagai berikut.
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
Mengonfigurasi layanan aplikasi identitas layanan
Untuk mengonfigurasi layanan di Windows Server, lihat artikel berikut ini:
Kumpulan aplikasi IIS
Untuk informasi selengkapnya, lihat Menentukan Identitas untuk Kumpulan Aplikasi (IIS 7).
Layanan Windows
Untuk informasi selengkapnya, lihat Layanan.
Tugas
Untuk informasi selengkapnya, lihat Ringkasan Penjadwal Tugas.
Layanan lain dapat mendukung gMSA. Lihat dokumentasi produk yang sesuai untuk detail tentang cara mengonfigurasi layanan tersebut.
Menambahkan host anggota ke farm server yang sudah ada
Jika menggunakan grup keamanan untuk mengelola host anggota, tambahkan akun komputer untuk host anggota baru ke grup keamanan (bahwa host anggota gMSA adalah anggota) menggunakan salah satu metode berikut.
Keanggotaan di Admin Domain, atau kemampuan untuk menambahkan anggota ke objek grup keamanan, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Metode 1: Pengguna dan Komputer Direktori Aktif
Untuk prosedur cara menggunakan metode ini, lihat Menambahkan akun komputer ke grup menggunakan antarmuka Windows, dan Mengelola Domain Berbeda di Pusat Administratif Direktori Aktif.
Metode 2: dsmod
Untuk prosedur cara menggunakan metode ini, lihat Menambahkan akun komputer ke grup menggunakan baris perintah.
Metode 3: Cmdlet Direktori Aktif Windows PowerShell Add-ADPrincipalGroupMembership
Untuk prosedur cara menggunakan metode ini, lihat Add-ADPrincipalGroupMembership.
Jika menggunakan akun komputer, temukan akun yang sudah ada lalu tambahkan akun komputer baru.
Keanggotaan di Admin Domain, Operator Akun, atau kemampuan untuk mengelola objek msDS-GroupManagedServiceAccount, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini. Untuk informasi terperinci tentang menggunakan akun dan keanggotaan grup yang sesuai, lihat Grup Default Lokal dan Domain.
Menambahkan host anggota menggunakan PowerShell
Pada pengontrol domain Windows Server 2012, jalankan Windows PowerShell dari Taskbar.
Pada perintah untuk modul Direktori Aktif Windows PowerShell, ketik perintah berikut, lalu tekan ENTER:
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPasswordPada perintah untuk modul Direktori Aktif Windows PowerShell, ketik perintah berikut, lalu tekan ENTER:
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Contoh berikut menambahkan anggota ke farm server menggunakan parameter dalam tabel.
| Parameter | String | Contoh |
|---|---|---|
| Nama | Beri nama akun | ITFarm1 |
| PrincipalsAllowedToRetrieveManagedPassword | Akun komputer host anggota atau grup keamanan tempat anggota menjadi anggota | Host1, Host2, Host3 |
Contoh berikut mendapatkan anggota farm ITFarm1saat ini.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Contoh berikut menambahkan host anggota ke farm ITFarm1server yang ada.
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$
Memperbarui properti Akun Layanan Terkelola grup
Keanggotaan di Admin Domain, Operator Akun, atau kemampuan untuk menulis ke objek msDS-GroupManagedServiceAccount, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Buka Modul Direktori Aktif untuk Windows PowerShell, dan atur properti apa pun dengan menggunakan Set-ADServiceAccount cmdlet.
Untuk informasi terperinci cara mengatur properti ini, lihat Set-ADServiceAccount di Pustaka TechNet atau dengan mengetik Get-Help Set-ADServiceAccount di modul Direktori Aktif untuk prompt perintah Windows PowerShell dan menekan ENTER.
Menghapus host anggota dari farm server yang sudah ada
Keanggotaan di Admin Domain, atau kemampuan untuk menghapus anggota dari objek grup keamanan, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Jika menggunakan grup keamanan untuk mengelola host anggota, hapus akun komputer untuk host anggota yang dinonaktifkan dari grup keamanan bahwa host anggota gMSA adalah anggota menggunakan salah satu metode berikut.
Metode 1: Pengguna dan Komputer Direktori Aktif
Untuk prosedur cara menggunakan metode ini, lihat Menghapus Akun Komputer menggunakan antarmuka Windows, dan Mengelola Domain Berbeda di Pusat Administratif Direktori Aktif.
Metode 2:
drsmUntuk prosedur cara menggunakan metode ini, lihat Menghapus Akun Komputer menggunakan baris perintah.
Metode 3: Cmdlet Direktori Aktif Windows PowerShell Remove-ADPrincipalGroupMembership
Untuk informasi terperinci cara menghapus anggota dari akun layanan terkelola grup, lihat Remove-ADPrincipalGroupMembership di Pustaka TechNet atau dengan mengetik Get-Help Remove-ADPrincipalGroupMembership di modul Direktori Aktif untuk perintah Windows PowerShell dan menekan ENTER.
Jika mencantumkan akun komputer, ambil akun yang ada lalu tambahkan semua kecuali akun komputer yang dihapus.
Keanggotaan di Admin Domain, Operator Akun, atau kemampuan untuk mengelola objek msDS-GroupManagedServiceAccount, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini. Untuk informasi terperinci tentang menggunakan akun dan keanggotaan grup yang sesuai, lihat Grup Default Lokal dan Domain.
Menghapus host anggota menggunakan PowerShell
Pada pengontrol domain Windows Server 2012, jalankan Windows PowerShell dari Taskbar.
Pada perintah untuk modul Direktori Aktif Windows PowerShell, ketik perintah berikut, lalu tekan ENTER:
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPasswordPada perintah untuk modul Direktori Aktif Windows PowerShell, ketik perintah berikut, lalu tekan ENTER:
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Contoh berikut menghapus anggota ke farm server menggunakan parameter dalam tabel.
| Parameter | String | Contoh |
|---|---|---|
| Nama | Beri nama akun | ITFarm1 |
| PrincipalsAllowedToRetrieveManagedPassword | Akun komputer host anggota atau grup keamanan tempat anggota menjadi anggota | Host1, Host3 |
Contoh berikut mendapatkan anggota farm ITFarm1saat ini.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Contoh berikut menghapus host anggota dari farm ITFarm1server yang ada.
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$
Menghapus Akun Layanan Terkelola grup dari sistem
Hapus kredensial gMSA yang di-cache dari host anggota menggunakan Uninstall-ADServiceAccount atau NETRemoveServiceAccount API pada sistem host.
Keanggotaan di Administrator, atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Menghapus gMSA menggunakan PowerShell
Pada pengontrol domain Windows Server 2012, jalankan Windows PowerShell dari Taskbar.
Pada perintah untuk modul Direktori Aktif Windows PowerShell, ketik perintah berikut, lalu tekan ENTER:
Uninstall-ADServiceAccount <ADServiceAccount>Contoh berikut menghapus instalan akun layanan terkelola Direktori Aktif dari komputer.
Uninstall-ADServiceAccount ITFarm1
Untuk informasi selengkapnya tentang cmdlet Uninstall-ADServiceAccount, pada modul Direktori Aktif untuk prompt perintah Windows PowerShell, ketik Get-Help Uninstall-ADServiceAccount, lalu tekan ENTER, atau lihat informasi di web TechNet di Uninstall-ADServiceAccount.