Creare un account del servizio gestito del gruppo (gMSA) in Azure Active Directory Domain Services

Articolo
11/29/2022
3 minuti per la lettura

Le applicazioni e i servizi spesso necessitano di un'identità per autenticarsi con altre risorse. Ad esempio, un servizio Web potrebbe dover eseguire l'autenticazione con un servizio di database. Se un'applicazione o un servizio ha più istanze, ad esempio una server farm Web, la creazione e la configurazione manuale delle identità per tali risorse richiede molto tempo.

È invece possibile creare un account del servizio gestito del gruppo nel dominio gestito di Azure Active Directory Domain Services (Azure AD DS). Il sistema operativo Windows gestisce automaticamente le credenziali per un account del servizio gestito del gruppo, semplificando la gestione di grandi gruppi di risorse.

Questo articolo illustra come creare un account del servizio gestito del gruppo in un dominio gestito usando Azure PowerShell.

Prima di iniziare

Per completare le procedure descritte in questo articolo, sono necessari i privilegi e le risorse seguenti:

Una sottoscrizione di Azure attiva.
- Se non si ha una sottoscrizione di Azure, creare un account.
Un tenant di Azure Active Directory associato alla sottoscrizione, sincronizzato con una directory locale o con una directory solo cloud.
- Se necessario, creare un tenant di Azure Active Directory o associare una sottoscrizione di Azure al proprio account.
Un dominio gestito di Azure Active Directory Domain Services abilitato e configurato nel tenant di Azure AD.
- Se necessario, completare l'esercitazione per creare e configurare un dominio gestito di Azure Active Directory Domain Services.
Una macchina virtuale di gestione di Windows Server aggiunta al dominio gestito di Azure AD DS.
- Se necessario, completare l'esercitazione per creare una macchina virtuale di gestione.

Panoramica degli account del servizio gestito

Un account del servizio gestito autonomo (sMSA) è un account di dominio la cui password viene gestita automaticamente. Questo approccio semplifica la gestione del nome dell'entità servizio (SPN) e consente la gestione delegata ad altri amministratori. Non è necessario creare e ruotare manualmente le credenziali per l'account.

Un account del servizio gestito del gruppo (gMSA) offre la stessa semplificazione della gestione, ma per più server nel dominio. Un account del servizio gestito del gruppo consente a tutte le istanze di un servizio ospitato in una server farm di usare la stessa entità servizio per il funzionamento dei protocolli di autenticazione reciproca. Quando un account del servizio gestito del gruppo viene usato come entità servizio, il sistema operativo Windows gestisce nuovamente la password dell'account anziché affidarsi all'amministratore.

Per altre informazioni, vedere Panoramica degli account del servizio gestito del gruppo .

Uso degli account del servizio in Azure AD DS

Poiché i domini gestiti vengono bloccati e gestiti da Microsoft, esistono alcune considerazioni quando si usano gli account del servizio:

Creare account di servizio in unità organizzative personalizzate nel dominio gestito.
- Non è possibile creare un account del servizio nelle unità organizzative predefinite AADDC Users o AADDC Computers .
- Creare invece un'unità organizzativa personalizzata nel dominio gestito e quindi creare account di servizio in tale unità organizzativa personalizzata.
La chiave radice KDS (Key Distribution Services) viene creata in anteprima.
- La chiave radice KDS viene usata per generare e recuperare le password per gli account del servizio gestito del gruppo. In Azure AD DS viene creata automaticamente la radice KDS.
- Non si dispone dei privilegi per creare un altro o visualizzare la chiave radice KDS predefinita.

Creare un account del servizio gestito di gruppo

Creare prima di tutto un'unità organizzativa personalizzata usando il cmdlet New-ADOrganizationalUnit . Per altre informazioni sulla creazione e la gestione di unità organizzative personalizzate, vedere Unità organizzative personalizzate in Azure AD DS.

Suggerimento

Per completare questi passaggi per creare un account del servizio gestito del gruppo, usare la macchina virtuale di gestione. Questa macchina virtuale di gestione deve avere già i cmdlet di Ad PowerShell necessari e la connessione al dominio gestito.

Nell'esempio seguente viene creata un'unità organizzativa personalizzata denominata myNewOU nel dominio gestito denominato aaddscontoso.com. Usare la propria unità organizzativa e il nome di dominio gestito:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Creare ora un account del servizio gestito del gruppo usando il cmdlet New-ADServiceAccount . Vengono definiti i parametri di esempio seguenti:

-Name è impostato su WebFarmSvc
-Path parametro specifica l'unità organizzativa personalizzata per l'account del servizio gestito del gruppo creato nel passaggio precedente.
Le voci DNS e i nomi delle entità servizio sono impostati per WebFarmSvc.aaddscontoso.com
Le entità in AADDSCONTOSO-SERVER$ possono recuperare la password e usare l'identità.

Specificare nomi e nomi di dominio personalizzati.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Le applicazioni e i servizi possono ora essere configurati per l'uso dell'account del servizio gestito del gruppo in base alle esigenze.

Passaggi successivi

Per altre informazioni sugli account del servizio gestito del gruppo, vedere Introduzione agli account del servizio gestito del gruppo.