Configurazione di account del servizio gestito delegati

Un account del servizio gestito delegato (dMSA) è un account Active Directory (AD) che fornisce una gestione sicura ed efficace delle credenziali. A differenza degli account di servizio tradizionali, gli account del servizio gestito del database non richiedono la gestione manuale delle password perché AD se ne occupa automaticamente. Con dMSA, è possibile delegare autorizzazioni specifiche per accedere alle risorse nel dominio, riducendo così i rischi per la sicurezza e garantendo una migliore visibilità e log dell'attività dell'account del servizio.

La configurazione di un dMSA è attualmente disponibile solo su dispositivi che eseguono Windows Server 2025. DMSA è un approccio più sicuro e gestibile alla gestione degli account del servizio rispetto agli account di servizio tradizionali. Eseguendo la migrazione dei servizi critici a dMSA, le organizzazioni possono garantire che questi servizi vengano gestiti in modo sicuro e conforme. DMSA offre un livello di sicurezza superiore offrendo password univoche e spesso ruotate, riducendo la probabilità di accesso non autorizzato e migliorando la sicurezza complessiva.

Prerequisites

• Il ruolo Dominio di Active Directory Services deve essere installato nel dispositivo o in qualsiasi dispositivo se si usano strumenti di gestione remota. Per altre informazioni, vedere Installare o disinstallare ruoli, servizi ruolo o funzionalità.

• Una volta installato il ruolo, il dispositivo deve essere alzato di livello a un controller di dominio (DC). In Server Manager, the flag icon displays a new notification. Selezionare Alza di livello il server a un controller di dominio, quindi completare i passaggi necessari.

• You must be a member of the Domain Admins or Enterprise Admins group, or have equivalent AD permissions, to create or migrate to a dMSA.

• Assicurarsi che venga stabilito un trust bidirezionale tra le foreste di Active Directory pertinenti per supportare l'autenticazione negli scenari tra domini e tra foreste con dMSA.

• La chiave radice KDS deve essere generata nel controller di dominio prima di creare o eseguire la migrazione di un dMSA. Eseguire Get-KdsRootKey in PowerShell per verificare se la chiave è disponibile. Se la chiave non è disponibile, può essere aggiunta eseguendo Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)).

  Note

  Per usare dMSA come account del servizio gestito autonomo o per sostituire un account del servizio legacy, è necessario eseguire il comando seguente nel dispositivo client:

  $params = @{
   Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
   Name = "DelegatedMSAEnabled"
   Value = 1
   Type = "DWORD"
  }
  Set-ItemProperty @params
  

Creare un dMSA autonomo

Le istruzioni seguenti consentono agli utenti di creare un nuovo dMSA senza eseguire la migrazione da un account di servizio tradizionale.

1. Aprire una sessione di PowerShell con diritti di amministratore e avviare l'esecuzione di:

   $params = @{
    Name = "ServiceAccountName"
    DNSHostName = "DNSHostName"
    CreateDelegatedServiceAccount = $true
    KerberosEncryptionType = "AES256"
   }
   New-ADServiceAccount @params
   

2. Concedere l'autorizzazione al dispositivo specifico per recuperare la password per l'account del servizio in AD:

   $params = @{
    Identity = "DMSA Name"
    PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
   }
   Set-ADServiceAccount @params
   

3. The msDS-DelegatedMSAState property value for the dMSA must be set to 3. Per visualizzare il valore corrente della proprietà, eseguire:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = "msDS-DelegatedMSAState"
   }
   Get-ADServiceAccount @params
   

   To set this value to 3, run:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = @{
     "msDS-DelegatedMSAState" = 3
    }
   }
   Set-ADServiceAccount @params
   

Eseguire la migrazione a un account dMSA

Per eseguire la migrazione di un account del servizio a un dMSA, seguire questa procedura:

1. Creare un dMSA descritto in Creazione di un dMSA autonomo.

2. Avviare la migrazione dell'account a un dMSA:

   $params = @{
    Identity = "<DMSAName>"
    SupersededAccount = "<DN of service account>"
   }
   Start-ADServiceAccountMigration @params
   

3. Se l'account del servizio di cui viene eseguita la migrazione a un account del servizio gestito ha accesso a più server, è necessario prima applicare un criterio del Registro di sistema per assicurarsi che l'impostazione predefinita sia il controller di dominio. Dopo aver eseguito l'accesso con dMSA, eseguire:

   $params = @{
    Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
    Name = "DelegatedMSAEnabled"
    Value = "1"
    PropertyType = "DWORD"
    Force = $true
   }
   New-ItemProperty @params
   

4. Dopo aver applicato le modifiche al Registro di sistema e aver collegato l'account, riavviare i servizi in esecuzione per l'account eseguendo:

   Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
   

Note

In the case that the service account is connected to multiple devices and migration has ended, the PrincipalsAllowedToRetrieveManagedPassword needs to be updated manually.

Completare la migrazione dell'account

Warning

When finalizing the migration, never delete the original service account in case you need to revert back to it post migration as this causes several issues.

Per completare la migrazione dell'account, è necessario disabilitare gli account di servizio tradizionali per assicurarsi che tutti i servizi usino il dMSA.

Per disabilitare l'account del servizio tradizionale, eseguire il comando seguente:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Se viene eseguita la migrazione dell'account errato, eseguire il comando seguente per annullare tutti i passaggi durante la migrazione:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Per ripristinare uno stato inattivo o non collegato di un account del servizio, eseguire:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

Visualizzare i log eventi dMSA

Gli eventi possono essere visualizzati usando il Visualizzatore eventi (eventvwr.exe) eseguendo le azioni seguenti:

1. Right-click on Start and select Event Viewer.
2. Nel riquadro sinistro, espandere Applicazioni e servizi e passare a Microsoft\Windows\Security-Kerberos\Operational.
3. Logging for this provider is disabled by default, to enable logging, right-click on Operational and select Enable Log.

La tabella seguente descrive questi eventi acquisiti.

Event ID	Description
307	dMSA Migration - This event is written for both dMSAs under migration and for ones that migrated. Contiene informazioni sull'account del servizio precedente e sul nuovo dMSA.
308	Aggiunta autorizzazione dMSA: questo evento viene registrato quando un computer tenta di aggiungersi alle entità autorizzate a recuperare il campo password gestito di un dMSA durante la migrazione.
309	Key Fetch dMSA: questo evento viene registrato quando il client Kerberos tenta di recuperare le chiavi per un dMSA dal controller di dominio.

See also

• New-ADServiceAccount
• Complete-ADServiceAccountMigration
• Reset-ADServiceAccountMigration
• Start-ADServiceAccountMigration
• Undo-ADServiceAccountMigration