Bagikan melalui


Gambaran Umum Akun Layanan Terkelola Grup

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Artikel ini untuk profesional TI memperkenalkan grup Managed Service Account (gMSA) dengan menjelaskan aplikasi praktis, perubahan dalam implementasi Microsoft, serta persyaratan perangkat keras dan perangkat lunak.

Deskripsi fitur

Akun Layanan Terkelola mandiri (sMSA) adalah akun domain terkelola yang menyediakan manajemen kata sandi otomatis, manajemen nama prinsipal layanan (SPN) yang disederhanakan, dan kemampuan untuk mendelegasikan manajemen kepada administrator lain. Jenis akun layanan terkelola (MSA) ini diperkenalkan di Windows Server 2008 R2 dan Windows 7.

Grup Akun Layanan Terkelola (gMSA) menyediakan fungsionalitas yang sama dalam domain dan juga memperluas fungsionalitas tersebut melalui beberapa server. Saat Anda terhubung ke layanan yang dihosting di farm server, seperti solusi Network Load Balanced, protokol autentikasi yang mendukung autentikasi bersama mengharuskan semua instans layanan untuk menggunakan prinsipal yang sama. Ketika Anda menggunakan gMSA sebagai perwakilan layanan, sistem operasi Windows mengelola kata sandi untuk akun alih-alih mengandalkan administrator untuk mengelola kata sandi.

Layanan Distribusi Kunci Microsoft (kdssvc.dll) memungkinkan Anda mendapatkan kunci terbaru atau kunci tertentu dengan aman dengan pengidentifikasi kunci untuk akun Direktori Aktif. Layanan Distribusi Kunci berbagi rahasia yang digunakan untuk membuat kunci untuk akun tersebut. Kunci ini berubah secara berkala. Untuk gMSA, pengendali domain menghitung kata sandi pada kunci yang disediakan Layanan Distribusi Kunci, bersama dengan atribut lain dari gMSA. Host anggota dapat memperoleh nilai kata sandi saat ini dan sebelumnya dengan menghubungi pengendali domain.

Aplikasi praktis

gMSA menyediakan solusi identitas tunggal untuk layanan yang berjalan di farm server atau pada sistem di belakang Network Load Balancer. Dengan menyediakan solusi gMSA, Anda dapat mengonfigurasi layanan untuk perwakilan gMSA baru saat Windows menangani manajemen kata sandi.

Saat administrator layanan atau layanan menggunakan gMSA, mereka tidak perlu mengelola sinkronisasi kata sandi antar instans layanan. GMSA mendukung host yang disimpan offline untuk jangka waktu yang lama dan mengelola host anggota untuk semua instans layanan. Anda dapat menyebarkan farm server yang mendukung satu identitas yang dapat diautentikasi komputer klien yang ada tanpa harus mengetahui instans layanan mana yang mereka sambungkan.

Kluster failover tidak mendukung gMSA. Namun, layanan yang berjalan di atas layanan Kluster dapat menggunakan gMSA atau sMSA jika mereka adalah layanan Windows, kumpulan aplikasi, tugas terjadwal, atau secara asli mendukung gMSA atau sMSA.

Persyaratan perangkat lunak

Untuk menjalankan perintah Windows PowerShell, Anda perlu mengelola gMSA, Anda harus memiliki arsitektur 64-bit.

Akun layanan terkelola bergantung pada jenis enkripsi yang didukung Kerberos. Saat komputer klien mengautentikasi ke server menggunakan Kerberos, DC membuat tiket layanan Kerberos yang dilindungi dengan enkripsi yang didukung DC dan server. DC menggunakan atribut msDS-SupportedEncryptionTypes akun untuk menentukan enkripsi apa yang didukung server. Jika tidak ada atribut, DC memperlakukan komputer klien seperti tidak mendukung jenis enkripsi yang lebih kuat. Jika Anda telah mengonfigurasi host untuk tidak mendukung RC4, autentikasi selalu gagal. Untuk alasan ini, Anda harus selalu mengonfigurasi AES untuk MSA.

Catatan

Pada Windows Server 2008 R2, DES dinonaktifkan secara default. Untuk informasi selengkapnya tentang jenis enkripsi yang didukung, lihat Perubahan di Autentikasi Kerberos.

gMSA tidak berlaku untuk sistem operasi Windows yang lebih lama dari Windows Server 2012.

Informasi Manajer Server

Anda tidak perlu melakukan konfigurasi tambahan untuk mengimplementasikan MSA dan gMSA menggunakan Server Manager atau Install-WindowsFeature cmdlet.

Langkah berikutnya

Berikut adalah beberapa sumber daya lain yang dapat Anda baca untuk mempelajari selengkapnya tentang Akun Layanan Terkelola: