Guida introduttiva alla funzionalità Account del servizio gestiti del gruppo
Data di pubblicazione: agosto 2016
Si applica a: Windows Server 2012 R2, Windows Server 2012
In questa guida vengono fornite istruzioni dettagliate e informazioni di carattere generale sull'abilitazione e sull'uso degli account del servizio gestito del gruppo in Windows Server 2012.
In questo documento
Prerequisites
Introduzione
Distribuzione di una nuova server farm
Aggiunta di host membri a una server farm esistente
Aggiornamento delle proprietà dell'account del servizio gestito del gruppo
Rimozione di host membri da una server farm esistente
Rimozione di una server farm esistente
Nota
Questo argomento include cmdlet di esempio di Windows PowerShell che è possibile usare per automatizzare alcune delle procedure descritte. Per altre informazioni, vedere Utilizzo di cmdlet.
Prerequisiti
Vedere la sezione in questo argomento Requisiti per gli account del servizio gestiti del gruppo.
Introduzione
Quando un computer client si connette a un servizio ospitato in una server farm che usa il bilanciamento carico di rete (NBL) o un altro metodo in base al quale tutti i server sembrano essere lo stesso servizio per il client, non è possibile usare i protocolli di autenticazione che supportano l'autenticazione reciproca come Kerberos a meno che tutte le istanze dei servizi utilizzino la stessa entità. Di conseguenza, ogni servizio deve usare le stesse password/chiavi per dimostrare la propria identità.
Nota
I cluster di failover non supportano gli account del servizio gestiti del gruppo. Tuttavia, i servizi eseguiti sul servizio cluster possono usare un account del servizio gestito del gruppo o un account del servizi gestito (autonomo) se si tratta di un servizio Windows, di un pool di applicazioni, di un'attività pianificata o se supportano gli account del servizio gestito del gruppo o gli account del servizio gestiti (autonomi) a livello nativo.
I servizi consentono di scegliere tra le entità seguenti, ognuna delle quali presenta determinate limitazioni.
Entità |
Ambito |
Servizi supportati |
Gestione delle password |
|---|---|---|---|
Account computer del sistema Windows |
Dominio |
Limitato a un server aggiunto al dominio |
Gestite dal computer |
Account computer senza sistema Windows |
Dominio |
Qualsiasi server aggiunto al dominio |
Nessuno |
Account virtuale |
Locale |
Limitato a un server |
Gestite dal computer |
Account del servizio gestito (autonomo) Windows 7 |
Dominio |
Limitato a un server aggiunto al dominio |
Gestite dal computer |
Account utente |
Dominio |
Qualsiasi server aggiunto al dominio |
Nessuno |
Account del servizio gestito del gruppo |
Dominio |
Qualsiasi server aggiunto al dominio Windows Server 2012 |
Gestite dal controller di dominio e recuperate dall'host |
Non è possibile condividere tra più sistemi un account computer Windows o un account del servizio gestito autonomo (sMSA) Windows 7 o account virtuali. Se si configura un account per i servizi da condividere in server farm, è necessario scegliere un account utente o un account computer diverso da quello del sistema Windows. In entrambi i casi, questi account non dispongono della funzionalità di gestione delle password come singolo punto di controllo. Si crea quindi un problema perché ogni organizzazione deve elaborare una soluzione costosa per aggiornare le chiavi del servizio in Active Directory e distribuirle a tutte le istanze di tali servizi.
Quando si usano gli account del servizio gestito del gruppo (gMSA), Windows Server 2012 evita ai servizi o agli amministratori dei servizi di gestire la sincronizzazione password tra istanze dei servizi. Dopo avere eseguito il provisioning degli account del servizio gestiti del gruppo in Active Directory, si configura il servizio che supporta gli account del servizio gestiti del gruppo. È possibile effettuare il provisioning di un account del servizio gestito del gruppo con i cmdlet *-ADServiceAccount che fanno parte del modulo di Active Directory. La configurazione dell'identità del servizio nell'host è supportata da:
Le stesse API dell'account del servizio gestito (autonomo), in modo tale che i prodotti che supportano gli account del servizio gestiti (autonomo) supportino anche gli account del servizio gestiti del gruppo
Servizi che usano Gestione controllo servizi per configurare l'identità di accesso
Servizi che usano Gestione IIS per la configurazione dell'identità da parte di pool di applicazioni
Attività che usano l'Utilità di pianificazione.
Per altre informazioni sugli account del servizio gestito autonomo, vedere Account del servizio gestito. Per altre informazioni sugli account del servizio gestito del gruppo, vedere Group Managed Service Accounts Overview.
Requisiti per gli account del servizio gestiti del gruppo
Nella tabella seguente sono indicati i requisiti del sistema operativo per l'uso dell'autenticazione Kerberos con servizi che usano account del servizio gestiti del gruppo. I requisiti di Active Directory sono riportati in calce alla tabella.
Per eseguire i comandi di Windows PowerShell utilizzati per amministrare account del servizio gestiti del gruppo, è richiesta un'architettura a 64 bit.
Requisiti del sistema operativo
Elemento |
Requisito |
Sistema operativo |
|---|---|---|
Host dell'applicazione client |
Client Kerberos conforme a RFC |
Almeno Windows XP |
Controller del dominio dell'account utente |
KDC conforme a RFC |
Almeno Windows Server 2003 |
Host membri del servizio condiviso |
Windows Server 2012 |
|
Controller del dominio dell'host membro |
KDC conforme a RFC |
Almeno Windows Server 2003 |
Controller di dominio dell'account del servizio gestito del gruppo |
Controller di dominio Windows Server 2012 disponibili per il recupero della password da parte dell'host |
Dominio con Windows Server 2012 in cui possono essere presenti sistemi precedenti a Windows Server 2012 |
Host del servizio back-end |
Server applicazioni Kerberos conforme a RFC |
Almeno Windows Server 2003 |
Controller del dominio dell'account del servizio back-end |
KDC conforme a RFC |
Almeno Windows Server 2003 |
Windows PowerShell per Active Directory |
Windows PowerShell per Active Directory installato localmente in un computer che supporta un'architettura a 64 bit o nel computer di gestione remota (ad esempio con gli strumenti di amministrazione remota del server). |
Windows Server 2012 |
Requisiti per Servizi di dominio Active Directory
Per creare un account del servizio gestito del gruppo, è necessario aggiornare a Windows Server 2012 lo schema di Active Directory nella foresta del dominio dell'account del servizio gestito del gruppo.
È possibile aggiornare lo schema installando un controller di dominio che esegue Windows Server 2012 o eseguendo la versione di adprep.exe da un computer che esegue Windows Server 2012. Il valore dell'attributo della versione dell'oggetto per l'oggetto CN=Schema,CN=Configuration,DC=Contoso,DC=Com deve essere 52.
Provisioning del nuovo account del servizio gestito del gruppo
Se si gestisce l'autorizzazione dell'host del servizio all'uso di account del servizio gestiti del gruppo per gruppo, un gruppo di sicurezza nuovo o esistente
Se si gestisce il controllo di accesso al servizio per gruppo, un gruppo di sicurezza nuovo o esistente
Se la prima chiave radice master per Active Directory non è distribuita nel dominio o non è stata creata, è necessario crearla. Il risultato della creazione può essere verificato nel log operativo KdsSvc, ID evento 4004.
Per istruzioni su come creare una chiave, vedere Creare la chiave radice del servizio distribuzione chiavi KDS. La chiave radice per Active Directory con il Servizio distribuzione chiavi Microsoft (kdssvc.dll).
Ciclo di vita
In genere, il ciclo di vita di una server farm in cui è usata la funzionalità Account del servizio gestito del gruppo prevede le attività seguenti:
Distribuzione di una nuova server farm
Aggiunta di host membri a una server farm esistente
Rimozione di host membri da una server farm esistente
Rimozione di una server farm esistente
Rimozione di un host membro compromesso da una server farm, se necessario.
Distribuzione di una nuova server farm
Nella distribuzione di una nuova server farm, l'amministratore del servizio dovrà stabilire:
Se il servizio supporta l'uso di account del servizio gestiti del gruppo
Se il servizio richiede connessioni autenticate in ingresso o in uscita
I nomi degli account computer per gli host membri del servizio che usa gli account del servizio gestiti del gruppo
Il nome NetBIOS del servizio
Il nome host DNS del servizio
I nomi dell'entità servizio (SPN) per il servizio
L'intervallo di modifica della password (per impostazione predefinita è di 30 giorni).
Passaggio 1: Provisioning degli account del servizio gestiti del gruppo
È possibile creare un account del servizio gestito del gruppo solo se lo schema della foresta è stato aggiornato a Windows Server 2012, la chiave radice master per Active Directory è stata distribuita e vi sia almeno un controller di dominioWindows Server 2012 nel dominio in cui verrà creato l'account del servizio gestito del gruppo.
Per eseguire le procedure seguenti, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la capacità di creare oggetti msDS-GroupManagedServiceAccount. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.
Per creare un account del servizio gestito del gruppo con il cmdlet New-ADServiceAccount
Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi di Windows PowerShell, digitare i comandi seguenti e quindi premere INVIO. (Il modulo Active Directory verrà caricato automaticamente.)
New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] -SamAccountName <string> -ServicePrincipalNames <string[]>
Parametro
String
Esempio
Nome
Nome dell'account
ITFarm1
DNSHostName
Nome host DNS del servizio
ITFarm1.contoso.com
KerberosEncryptionType
Qualsiasi tipo di crittografia supportata dai server host
RC4, AES128, AES256
ManagedPasswordIntervalInDays
Intervallo di modifica della password espresso in giorni (se non è indicato, l'intervallo predefinito è di 30 giorni)
90
PrincipalsAllowedToRetrieveManagedPassword
Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri
ITFarmHosts
SamAccountName
Nome NetBIOS del servizio se diverso dal Nome
ITFarm1
ServicePrincipalNames
Nomi dell'entità servizio (SPN) per il servizio
http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Importante
È possibile impostare l'intervallo di modifica della password solo in fase di creazione. Per modificare l'intervallo, è necessario creare un nuovo account del servizio gestito del gruppo e impostarlo al momento della creazione.
Esempio
Immettere il comando su una singola riga, anche se le parole potrebbero tornare automaticamente a capo e quindi apparire su più righe a causa dei limiti di formattazione.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Per eseguire questa procedura, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la possibilità di creare oggetti msDS-GroupManagedServiceAccount. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.
Per creare un account del servizio gestito del gruppo per l'autenticazione in uscita usando solo il cmdlet New-ADServiceAccount
Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]
Parametro
String
Esempio
Nome
Nome dell'account
ITFarm1
ManagedPasswordIntervalInDays
Intervallo di modifica della password espresso in giorni (se non è indicato, l'intervallo predefinito è di 30 giorni)
75
PrincipalsAllowedToRetrieveManagedPassword
Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri
ITFarmHosts
Importante
È possibile impostare l'intervallo di modifica della password solo in fase di creazione. Per modificare l'intervallo, è necessario creare un nuovo account del servizio gestito del gruppo e impostarlo al momento della creazione.
Esempio
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts
Passaggio 2: Configurazione del servizio Identità applicazione del servizio
Per configurare i servizi in Windows Server 2012, vedere la documentazione della funzione seguente:
Pool di applicazioni IIS
Per altre informazioni, vedere Specificare l'identità del pool di applicazioni usato dai siti portale (IIS 7).
Servizi Windows
Per altre informazioni, vedere Servizi.
Attività
Per altre informazioni, vedere Panoramica dell'Utilità di pianificazione.
L'account del servizio gestito del gruppo potrebbe essere supportato da altri servizi. Per altre informazioni sulle modalità di configurazione di tali servizi, vedere la relativa documentazione di prodotto.
Aggiunta di host membri a una server farm esistente
Se nella gestione di host membri si usano gruppi di sicurezza, aggiungere al gruppo di sicurezza l'account computer del nuovo host membro (ossia il membro dell'account del servizio gestito del gruppo a cui appartengono gli host) tramite uno dei metodi seguenti.
Per eseguire queste procedure, è necessaria almeno l'appartenenza al gruppo Domain Admins o la possibilità di aggiungere membri all'oggetto gruppo di sicurezza. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.
Metodo 1: Utenti e computer di Active Directory
Per le procedure sull'uso di questo metodo, vedere Aggiungere un account computer a un gruppo usando l'interfaccia di Windows e Gestire domini diversi nel Centro di amministrazione di Active Directory.
Metodo 2: dsmod
Per le procedure su come usare questo metodo, vedere Aggiungere un account computer a un gruppo usando la riga di comando.
Metodo 3: cmdlet Add-ADPrincipalGroupMembership di Active Directory per Windows PowerShell
Per le procedure su come usare questo metodo, vedere Add-ADPrincipalGroupMembership.
Se si usano account computer, trovare gli account esistenti e aggiungere il nuovo account computer.
Per eseguire questa procedura, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la possibilità di gestire oggetti msDS-GroupManagedServiceAccount. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.
Per aggiungere host membri con il cmdlet Set-ADServiceAccount
Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Get-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Set-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Parametro |
String |
Esempio |
|---|---|---|
Nome |
Nome dell'account |
ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword |
Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri |
Host1, Host2, Host3 |
Esempio
Per aggiungere host membri, digitare i comandi seguenti e premere INVIO.
Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1-PrincipalsAllowedToRetrieveManagedPassword Host1 Host2 Host3
Aggiornamento delle proprietà dell'account del servizio gestito del gruppo
Per eseguire queste procedure, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la possibilità di scrivere oggetti msDS-GroupManagedServiceAccount. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.
Aprire il modulo Active Directory per Windows PowerShell e impostare le proprietà con il cmdlet Set-ADServiceAccount.
Per altre informazioni su come impostare queste proprietà, vedere Set-ADServiceAccount nella libreria TechNet Library o digitare Get-Help Set-ADServiceAccount al prompt dei comandi del modulo Active Directory per Windows PowerShell e premere INVIO.
Rimozione di host membri da una server farm esistente
Per eseguire queste procedure, è necessaria almeno l'appartenenza al gruppo Domain Admins o la possibilità di rimuovere membri dall'oggetto gruppo di sicurezza. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.
Passaggio 1: Rimuovere host membri dall'account del servizio gestito del gruppo
Se nella gestione di host membri si usano gruppi di sicurezza, eliminare l'account computer dell'host membro da rimuovere dal gruppo di sicurezza a cui appartengono gli host membri dell'account del servizio gestito del gruppo, tramite uno dei metodi seguenti.
Metodo 1: Utenti e computer di Active Directory
Per le procedure sull'uso di questo metodo, vedere Eliminare un account computer usando l'interfaccia di Windows e Gestire domini diversi nel Centro di amministrazione di Active Directory.
Metodo 2: drsm
Per le procedure su come usare questo metodo, vedere Eliminare un account computer usando la riga di comando.
Metodo 3: cmdlet Remove-ADPrincipalGroupMembership di Active Directory per Windows PowerShell
Per altre informazioni, vedere Remove-ADPrincipalGroupMembership nella libreria TechNet o digitare Get-Help Remove-ADPrincipalGroupMembership al prompt dei comandi del modulo Active Directory per Windows PowerShell e premere INVIO.
Nel caso di elenchi di account computer, recuperare gli account esistenti e aggiungerli tutti tranne l'account computer rimosso.
Per eseguire questa procedura, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la possibilità di gestire oggetti msDS-GroupManagedServiceAccount. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.
Per rimuovere host membri con il cmdlet Set-ADServiceAccount
Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Get-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Set-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Parametro |
String |
Esempio |
|---|---|---|
Nome |
Nome dell'account |
ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword |
Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri |
Host1, Host3 |
Esempio
Per rimuovere host membri, digitare i comandi seguenti e premere INVIO.
Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1 Host3
Passaggio 2: Rimozione di un account del servizio gestito del gruppo dal sistema
Rimuovere dall'host membro le credenziali dell'account del servizio gestito del gruppo memorizzate nella cache usando il cmdlet Uninstall-ADServiceAccount o l'API NetRemoveServiceAccount nel sistema host.
Per completare queste procedure è necessaria almeno l'appartenenza al gruppo Administrators oppure a un gruppo equivalente. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.
Per rimuovere un account del servizio gestito del gruppo con il cmdlet Uninstall-ADServiceAccount
Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Uninstall-ADServiceAccount < ADServiceAccount>
Esempio
Per rimuovere le credenziali memorizzate nella cache di un account del servizio gestito del gruppo denominato ITFarm1, digitare ad esempio il comando seguente e quindi premere INVIO:
Uninstall-ADServiceAccount ITFarm1
Per altre informazioni sul cmdlet Uninstall-ADServiceAccount, al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare Get-Help Uninstall-ADServiceAccount e quindi premere INVIO o vedere la pagina del sito Web TechNet dedicata al cmdlet Uninstall-ADServiceAccount.
Rimozione di una server farm esistente
Durante la rimozione di una server farm esistente, è necessario rimuovere da Active Directory gli oggetti seguenti:
Se l'account del servizio gestito del gruppo è l'unico membro, il gruppo di sicurezza a cui appartiene l'account del servizio gestito del gruppo viene usato per il controllo di accesso
Se il gruppo di sicurezza viene usato solo per gli host membri, il gruppo di sicurezza a cui appartengono gli host membri
L'account del servizio gestito del gruppo.
Per eliminare un gruppo di sicurezza, usare Utenti e computer di Active Directory, dsrm o Remove-ADGroup. Per eliminare un account del servizio gestito del gruppo, usare Utenti e computer di Active Directory o il cmdlet Remove-ADServiceAccount.
Passaggio 1: Eliminazione di oggetti Active Directory
Per eseguire queste procedure, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la possibilità di eliminare oggetti msDS-GroupManagedServiceAccount e gruppi di sicurezza. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.
Per rimuovere un account del servizio gestito del gruppo con il cmdlet Remove-ADServiceAccount
Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Remove-ADServiceAccount < ADServiceAccount>
Esempio
Per eliminare un account del servizio gestito del gruppo denominato ITFarm1, digitare ad esempio il comando seguente e quindi premere INVIO:
Remove-ADServiceAccount ITFarm1
Per altre informazioni sul cmdlet Remove-ADServiceAccount, al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare Get-Help Remove-ADServiceAccount e quindi premere INVIO o vedere la pagina del sito Web TechNet dedicata al cmdlet Remove-ADServiceAccount.
Passaggio 2: Rimozione di un account del servizio gestito del gruppo dal sistema
Usare le procedure descritte nella sezione Passaggio 2: Rimozione di un account del servizio gestito del gruppo dal sistema di questo argomento.