Creare un account del servizio gestito del gruppo (gMSA) in Microsoft Entra Domain Services

Le applicazioni e i servizi hanno spesso bisogno di un'identità per autenticarsi con altre risorse. Ad esempio, potrebbe essere necessario eseguire l'autenticazione con un servizio di database. Se un'applicazione o un servizio dispone di più istanze, ad esempio una server farm Web, la creazione e la configurazione manuale delle identità per tali risorse richiede molto tempo.

È invece possibile creare un account del servizio gestito del gruppo (gMSA) nel dominio gestito di Microsoft Entra Domain Services. Il sistema operativo Windows gestisce automaticamente le credenziali per un account del servizio gestito del gruppo, semplificando la gestione di grandi gruppi di risorse.

Questo articolo illustra come creare un account del servizio gestito del gruppo in un dominio gestito usando Azure PowerShell.

Operazioni preliminari

Per completare le procedure descritte in questo articolo, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o una directory solo cloud.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure all'account.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, completare l'esercitazione per creare e configurare un dominio gestito di Microsoft Entra Domain Services.
• Macchina virtuale di gestione di Windows Server aggiunta al dominio gestito di Servizi di dominio.
  • Se necessario, completare l'esercitazione per creare una macchina virtuale di gestione.

Panoramica degli account del servizio gestito

Un account del servizio gestito autonomo (sMSA) è un account di dominio la cui password viene gestita automaticamente. Questo approccio semplifica la gestione del nome dell'entità servizio (SPN) e consente la gestione delegata ad altri amministratori. Non è necessario creare e ruotare manualmente le credenziali per l'account.

Un account del servizio gestito del gruppo (gMSA) offre la stessa semplificazione della gestione, ma per più server nel dominio. Un account del servizio gestito del gruppo consente a tutte le istanze di un servizio ospitato in una server farm di usare la stessa entità servizio per il funzionamento dei protocolli di autenticazione reciproca. Quando un account del servizio gestito del gruppo viene usato come entità servizio, il sistema operativo Windows gestisce nuovamente la password dell'account anziché basarsi sull'amministratore.

Per altre informazioni, vedere Panoramica degli account del servizio gestito del gruppo .

Uso degli account di servizio in Servizi di dominio

Poiché i domini gestiti vengono bloccati e gestiti da Microsoft, quando si usano account di servizio è necessario tenere presenti alcune considerazioni:

• Creare account di servizio in unità organizzative personalizzate nel dominio gestito.
  • Non è possibile creare un account del servizio nelle unità organizzative predefinite AADDC Users o AADDC Computers .
  • Creare invece un'unità organizzativa personalizzata nel dominio gestito e quindi creare account di servizio in tale unità organizzativa personalizzata.
• La chiave radice KDS (Key Distribution Services) viene creata in anteprima.
  • La chiave radice KDS viene usata per generare e recuperare password per gli account del servizio gestito del gruppo. In Servizi di dominio viene creata automaticamente la radice KDS.
  • Non si dispone dei privilegi per creare un'altra chiave o visualizzare la chiave radice KDS predefinita.

Creare un account del servizio gestito del gruppo

Creare prima di tutto un'unità organizzativa personalizzata usando il cmdlet New-ADOrganizationalUnit . Per altre informazioni sulla creazione e la gestione di unità organizzative personalizzate, vedere Unità organizzative personalizzate in Servizi di dominio.

Suggerimento

Per completare questi passaggi per creare un account del servizio gestito del gruppo, usare la macchina virtuale di gestione. Questa macchina virtuale di gestione deve avere già i cmdlet di PowerShell di AD necessari e la connessione al dominio gestito.

Nell'esempio seguente viene creata un'unità organizzativa personalizzata denominata myNewOU nel dominio gestito denominato aaddscontoso.com. Usare la propria unità organizzativa e il nome di dominio gestito:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Creare ora un account del servizio gestito del gruppo usando il cmdlet New-ADServiceAccount . Sono definiti i parametri di esempio seguenti:

• -Name è impostato su WebFarmSvc
• -Path parametro specifica l'unità organizzativa personalizzata per l'account del servizio gestito del gruppo creato nel passaggio precedente.
• Le voci DNS e i nomi delle entità servizio sono impostati per WebFarmSvc.aaddscontoso.com
• Le entità in AADDSCONTOSO-edizione Standard RVER$ possono recuperare la password e usare l'identità.

Specificare nomi e nomi di dominio personalizzati.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Le applicazioni e i servizi possono ora essere configurati per l'uso dell'account del servizio gestito del gruppo in base alle esigenze.

Passaggi successivi

Per altre informazioni sugli account del servizio gestito del gruppo, vedere Introduzione agli account del servizio gestito del gruppo.