Condividi tramite


Panoramica degli account del servizio gestiti del gruppo

 

Si applica a: Windows Server 2012 R2, Windows Server 2012

In questo argomento per i professionisti IT vengono presentati gli account del servizio gestiti del gruppo, le relative applicazioni pratiche, le modifiche all'implementazione di Microsoft, i requisiti hardware e software oltre alle risorse aggiuntive per Windows Server 2012.

Argomenti correlati

Descrizione delle funzionalità

Gli account del servizio gestiti autonomi, introdotti in Windows Server 2008 R2 e Windows 7, sono account di dominio gestiti che forniscono funzionalità di gestione automatica delle password e gestione dei nomi SPN semplificata, inclusa la delega della gestione ad altri amministratori.

L'account del servizio gestito del gruppo presenta le stesse funzionalità all'interno del dominio ma estende tali funzionalità su più server. Durante la connessione a un servizio ospitato in una server farm, ad esempio Bilanciamento carico di rete, i protocolli di autenticazione che supportano l'autenticazione reciproca richiedono che tutte le istanze dei servizi utilizzino la stessa entità. Quando gli account del servizio gestiti del gruppo vengono utilizzati come entità del servizio, il sistema operativo Windows gestisce la password dell'account anziché affidarsi a un amministratore per la gestione della password.

Il Servizio distribuzione chiavi Microsoft (kdssvc.dll) fornisce il meccanismo per ottenere in modo sicuro la chiave più recente o una chiave specifica con un identificatore chiave per un account Active Directory. Questo servizio è una novità di Windows Server 2012 e non può essere eseguito nelle versioni precedenti del sistema operativo Windows Server. Il Servizio distribuzione chiavi condivide un segreto che viene utilizzato per creare le chiavi per l'account. Tali chiavi vengono modificate periodicamente. Per un account del servizio gestito del gruppo, il controller di dominio Windows Server 2012 calcola la password sulla chiave fornita da Servizio distribuzione chiavi e su altri attributi dell'account del servizio gestito del gruppo. Gli host membri Windows Server 2012 e Windows 8 possono ottenere i valori della password corrente e di quella precedente contattando un controller di dominio Windows Server 2012.

Applicazioni pratiche

Gli account del servizio gestiti del gruppo offrono un'unica soluzione di identità per i servizi in esecuzione in una server farm o nei sistemi sottostanti a Bilanciamento carico di rete. Grazie alla soluzione MSA del gruppo, i servizi possono essere configurati per la nuova entità MSA del gruppo e la gestione delle password viene garantita da Windows.

Un account del servizio gestito del gruppo evita ai servizi o agli amministratori dei servizi di gestire la sincronizzazione delle password tra istanze dei servizi. L'account del servizio gestito del gruppo supporta gli host che rimangono disconnessi per periodi prolungati e la gestione di host membri per tutte le istanze di un servizio. Di conseguenza, è possibile distribuire una server farm in grado di supportare una singola identità a cui tutti i computer client esistenti possono autenticarsi senza che sia nota l'istanza del servizio a cui si stanno connettendo.

I cluster di failover non supportano gli account del servizio gestiti del gruppo. Tuttavia, i servizi eseguiti sul servizio cluster possono usare un account del servizio gestito del gruppo o un account del servizi gestito (autonomo) se si tratta di un servizio Windows, di un pool di applicazioni, di un'attività pianificata o se supportano gli account del servizio gestito del gruppo o gli account del servizio gestiti (autonomi) a livello nativo.

Funzionalità nuove e modificate

Nella tabella seguente sono riportate le modifiche introdotte alla funzionalità MSA.

Caratteristica/funzionalità

Windows Server 2008 R2

Windows Server 2012

Account dei computer virtuali

X

X

Account dei servizi gestiti

X

X

Account del servizio gestiti del gruppo

X

Cmdlet di Windows PowerShell

X

X

Per informazioni su sulle modifiche delle funzionalità per MSA, vedere Novità relative agli account del servizio gestiti.

Funzionalità deprecate

In Windows Server 2012, per impostazione predefinita i cmdlet di Windows PowerShell gestiscono gli account del servizio gestiti del gruppo anziché gli account del servizio gestiti autonomi originali.

Requisiti software

Account del servizio gestiti e Account computer virtuali si applicano a Windows Server 2008 R2 e a Windows Server 2012. Gli account del servizio gestiti del gruppo possono essere configurati e gestiti solo nei computer che eseguono Windows Server 2012 ma possono essere distribuiti come un'unica soluzione di identità dei servizi nei domini in cui sono ancora presenti controller di dominio che eseguono sistemi operativi precedenti a Windows Server 2012. Non sono previsti requisiti per il livello di funzionalità dominio o foresta.

Per eseguire i comandi di Windows PowerShell necessari per amministrare account del servizio gestito del gruppo, è richiesta un'architettura a 64 bit.

Un account del servizio gestito dipende dai tipi di crittografia supportati da Kerberos. Quando un computer client esegue l'autenticazione a un server che utilizza Kerberos, il controller di dominio crea un ticket di servizio Kerberos con una crittografia supportata sia dal controller di dominio che dal server. Il controller di dominio utilizza l'attributo msDS-SupportedEncryptionTypes dell'account per determinare il tipo di crittografia supportato dal server. Se l'attributo non è presente, presuppone che il computer client non supporti i tipi di crittografia più avanzati. Se l'host Windows Server 2012 è configurato per non supportare la crittografia RC4, l'autenticazione avrà sempre esito negativo. Per questo motivo, per gli account del servizio gestiti è sempre consigliabile configurare la crittografia AES in modo esplicito.

Nota

A partire da Windows Server 2008 R2, la crittografia DES è disabilitata per impostazione predefinita. Per altre informazioni sui tipi di crittografia supportati, vedere Modifiche all'autenticazione Kerberos.

Non è possibile applicare gli account del servizio gestiti del gruppo ai sistemi operativi Windows precedenti a Windows Server 2012.

Informazioni su Server Manager

Non sono necessarie procedure di configurazione per l'implementazione della funzionalità MSA e MSA del gruppo utilizzando Server Manager e il cmdlet Install-WindowsFeature.

Vedere anche

Nella tabella seguente vengono riportati i collegamenti a risorse aggiuntive relative agli account del servizio gestiti e agli account del servizio gestiti del gruppo.

Tipo di contenuto

Riferimenti

Valutazione del prodotto

Novità relative agli account del servizio gestiti

Documentazione relativa agli account dei servizi gestiti per Windows 7 e Windows Server 2008 R2

Guida dettagliata agli account del servizio gestiti

Pianificazione

Non ancora disponibile

Distribuzione

Non ancora disponibile

Operazioni

Account del servizio gestiti in Active Directory

Risoluzione dei problemi

Non ancora disponibile

Valutazione

Guida introduttiva alla funzionalità Account del servizio gestiti del gruppo

Strumenti e impostazioni

Account del servizio gestiti in Servizi di dominio Active Directory

Risorse della community

Account dei servizi gestiti: Informazioni, Implementazione, Procedure consigliate e Risoluzione dei problemi

Tecnologie correlate

Panoramica di Servizi di dominio Active Directory