Condividi tramite

Guida introduttiva alla funzionalità Account del servizio gestito di gruppo

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Questo articolo contiene informazioni su come abilitare e usare gli account del servizio gestito di gruppo in Windows Server.

I protocolli di autenticazione che supportano l'autenticazione reciproca, come Kerberos, non possono essere usati a meno che tutte le istanze dei servizi non usino la stessa entità. Ad esempio, quando un computer client si connette a un servizio che usa il bilanciamento del carico o un altro metodo in base al quale tutti i server sembrano essere lo stesso servizio per il client. Il che vuol dire che ogni servizio deve usare le stesse password o chiavi per dimostrare la propria identità. Gli account del servizio gestito di gruppo (Group Managed Service Accounts, gMSA) sono un tipo di account utilizzabile con più server. Un gMSA è un account di dominio che può essere usato per eseguire servizi in più server senza dover gestire la password. Il gMSA fornisce la gestione automatica delle password e la gestione semplificata del nome dell'entità servizio (service principal name, SPN) tra cui la delega della gestione ad altri amministratori.

Nota

I cluster di failover non supportano gli account del servizio gestiti del gruppo. Tuttavia, i servizi eseguiti sul servizio cluster possono usare un account del servizio gestito del gruppo o un account del servizi gestito (autonomo) se si tratta di un servizio Windows, di un pool di applicazioni, di un'attività pianificata o se supportano gli account del servizio gestito del gruppo o gli account del servizio gestiti (autonomi) a livello nativo.

I servizi possono scegliere l'entità da usare. Ogni tipo di entità supporta servizi diversi e presenta limitazioni diverse.

Entità Servizi supportati Gestione delle password
Account computer del sistema Windows Limitato a un server aggiunto al dominio Gestite dal computer
Account computer senza sistema Windows Qualsiasi server aggiunto al dominio Nessuno
Account virtuale Limitato a un server Gestite dal computer
Account del servizio gestito autonomo di Windows Limitato a un server aggiunto al dominio Gestite dal computer
Account utente Qualsiasi server aggiunto al dominio Nessuno
Account del servizio gestito del gruppo Qualsiasi server Windows Server aggiunto al dominio Gestite dal controller di dominio e recuperate dall'host

Non è possibile condividere tra più sistemi un account computer Windows, un account del servizio gestito autonomo (standalone Managed Service Account, sMSA) Windows o account virtuali. Quando si usano account virtuali, l'identità è anche locale per il computer e non riconosciuta dal dominio. Se si configura un account per i servizi da condividere in server farm, è necessario scegliere un account utente o un account computer diverso da quello del sistema Windows. In entrambi i casi, questi account sono privi della funzionalità di gestione delle password come singolo punto di controllo. Senza la gestione delle password, ogni organizzazione deve aggiornare le chiavi per il servizio in Active Directory e distribuirle a tutte le istanze dei servizi.

Quando si usano gli account del servizio gestito di gruppo (group Managed Service Accounts, gMSA), Windows Server evita ai servizi o agli amministratori dei servizi di gestire la sincronizzazione delle password tra istanze dei servizi. Dopo aver creato il gMSA in AD, si configura il servizio che supporta gli account di servizio gestiti. L'uso dell'account del servizio gestito del gruppo è limitato a qualsiasi computer in grado di usare LDAP per recuperare le credenziali dell'account del servizio gestito del gruppo. È possibile creare un gMSA usando i cmdlet New-ADServiceAccount che fanno parte del modulo di Active Directory. I seguenti servizi supportano la configurazione dell'identità del servizio nell'host.

  • Le stesse API del sMSA, in modo tale che i prodotti che supportano il sMSA supportino anche il gMSA

  • Servizi che per configurare l'identità di accesso usano Gestione controllo servizi

  • Servizi che per la configurazione dell'identità da parte di pool di applicazioni usano Gestione IIS

  • Attività che usano l'Utilità di pianificazione.

Prerequisiti

Nella tabella seguente sono indicati i requisiti del sistema operativo per l'uso dell'autenticazione Kerberos con servizi che usano account del servizio gestiti del gruppo. I requisiti di Active Directory sono riportati in calce alla tabella.

Per eseguire i comandi di Windows PowerShell utilizzati per amministrare account del servizio gestiti del gruppo, è richiesta un'architettura a 64 bit.

Sistema operativo

Elemento Requisito
Host dell'applicazione client Client Kerberos conforme a RFC
Controller del dominio dell'account utente KDC conforme a RFC
Host membri del servizio condiviso
Controller del dominio dell'host membro KDC conforme a RFC
Controller di dominio dell'account del servizio gestito del gruppo Controller di dominio Windows Server 2012 disponibili per il recupero della password da parte dell'host
Host del servizio back-end Server applicazioni Kerberos conforme a RFC
Controller del dominio dell'account del servizio back-end KDC conforme a RFC
Windows PowerShell per Active Directory Strumenti di Amministrazione Remota del Server di Servizi di dominio Active Directory

Active Directory Domain Services

Gli account del servizio gestito di gruppo presentano i seguenti requisiti in Active Directory Domain Services (AD DS).

  • Il livello funzionale della foresta e e del dominio di Active Directory devono essere Windows Server 2012 o versioni successive. Per altre informazioni sull'aggiornamento dello schema, vedere Aumento dei livelli funzionali della foresta e del dominio di Active Directory.

  • Se si gestisce l'autorizzazione dell'host del servizio all'uso di un gMSA per gruppo, un gruppo di sicurezza nuovo o esistente.

  • Se si gestisce il controllo di accesso al servizio per gruppo, un gruppo di sicurezza nuovo o esistente.

  • La chiave radice del servizio distribuzione chiave (Key Distribution Services KDS) per Active Directory deve essere creata nel dominio. Il risultato della creazione può essere verificato nel log operativo KdsSvc, Event ID 4004. Per altre informazioni sulla creazione della chiave radice del KDS, vedere Creare la chiave radice del servizio distribuzione chiave KDS.

Per istruzioni su come creare la chiave, vedere Creare la chiave radice KDS dei servizi distribuzioni chiavi. La chiave radice per Active Directory con il Servizio distribuzione chiavi Microsoft (kdssvc.dll).

Distribuzione di una nuova server farm

Il processo di creazione e gestione di una server farm in cui è usata la funzionalità gMSA prevede in genere le attività seguenti.

  • Distribuzione di una nuova server farm

  • Aggiunta di host membri a una server farm esistente

  • Rimozione di host membri da una server farm esistente

  • Rimozione di una server farm esistente

  • Rimozione di un host membro compromesso da una server farm, se necessario

Quando l'amministratore del servizio distribuisce una nuova server farm, deve determinare le seguenti informazioni.

  • Il servizio supporta l'uso di gMSA

  • Il servizio richiede connessioni autenticate in ingresso o in uscita

  • I nomi degli account computer per gli host membri del servizio che usa gli account del servizio gestiti del gruppo

  • Il nome NetBIOS del servizio

  • Il nome host DNS del servizio

  • I nomi dell'entità servizio (SPN) per il servizio

  • L'intervallo di modifica della password (per impostazione predefinita è di 30 giorni)

Creare Account del servizio gestiti di gruppo

È possibile creare un gMSA solo se lo schema della foresta è Windows Server 2012 o versioni successive. È inoltre necessario distribuire la chiave radice del KDS per Active Directory e avere almeno un controller di dominio Windows Server 2012 o versioni successive nel dominio in cui si vuole creare un gMSA.

Importante

I nomi degli account gMSA devono essere univoci all'interno di un livello di foresta e non solo di dominio. Il tentativo di creare un account gMSA con un nome duplicato non andrà a buon fine, anche in domini diversi.

Per eseguire le procedure seguenti, è necessaria almeno l'appartenenza ai gruppi Domain Admins o la capacità di creare oggetti msDS-GroupManagedServiceAccount.

Per creare un gMSA usando PowerShell, seguire questa procedura.

  1. Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.

  2. Al prompt dei comandi di Windows PowerShell, digitare i comandi seguenti e quindi premere INVIO. (Il modulo Active Directory viene caricato automaticamente).

    New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]

    Nota

    Un valore per il parametro -Name è sempre obbligatorio (che si specifichi -Name o meno), con -DNSHostName, -RestrictToSingleComputer e -RestrictToOutboundAuthentication come requisiti secondari per i tre scenari di distribuzione.

    Parametro Stringa Esempio
    Nome Nome dell'account ITFarm1
    DNSHostName Nome host DNS del servizio ITFarm1.contoso.com
    KerberosEncryptionType Qualsiasi tipo di crittografia supportata dai server host Nessuno, RC4, AES128, AES256
    ManagedPasswordIntervalInDays Intervallo di modifica della password espresso in giorni (se non è indicato, l'intervallo predefinito è di 30 giorni) 90
    PrincipalsAllowedToRetrieveManagedPassword Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri ITFarmHosts
    SamAccountName Nome NetBIOS del servizio se diverso dal Nome ITFarm1
    ServicePrincipalNames Nomi dell'entità servizio (SPN) per il servizio http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

    Importante

    È possibile impostare l'intervallo di modifica della password solo in fase di creazione. Per modificare l'intervallo, è necessario creare un nuovo account del servizio gestito del gruppo e impostarlo al momento della creazione.

    Ad esempio, per creare un nuovo gMSA denominato ITFarm1 per il gruppo, usare il comando seguente. Il gMSA consente al servizio di usare i tipi di crittografia Kerberos RC4, AES128 e AES256. Il servizio è autorizzato a usare gli SPN http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com e http/ITFarm1/contoso.

    Immettere il comando su una singola riga, anche se le parole potrebbero tornare automaticamente a capo e quindi apparire su più righe a causa dei limiti di formattazione.

     New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso

Per eseguire questa procedura, è necessaria almeno l'appartenenza ai gruppi Domain Admins, Account Operators o la possibilità di creare msDS-GroupManagedServiceAccount. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi di sicurezza di Active Directory.

Per creare un gMSA per l'autenticazione in uscita solo tramite PowerShell, seguire questa procedura.

  1. Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.

  2. Al prompt dei comandi del Modulo di Active Directory per Windows PowerShell, usare il comando seguente.

    New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]

    Nell'esempio seguente viene creato un gMSA del gruppo usando i parametri riportati nella tabella.

    Parametro Stringa Esempio
    Nome Nome dell'account ITFarm1
    ManagedPasswordIntervalInDays Intervallo di modifica della password espresso in giorni (se non è indicato, l'intervallo predefinito è di 30 giorni) 75
    PrincipalsAllowedToRetrieveManagedPassword Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri ITFarmHosts

    Importante

    È possibile impostare l'intervallo di modifica della password solo in fase di creazione. Per modificare l'intervallo, è necessario creare un nuovo account del servizio gestito del gruppo e impostarlo al momento della creazione.

    Comando di esempio che usa questi parametri come segue.

    New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$

Configurare il servizio applicazione identità del servizio

Per configurare i servizi in Windows Server, vedere i seguenti articoli:

L'account del servizio gestito del gruppo potrebbe essere supportato da altri servizi. Per altre informazioni sulle modalità di configurazione di tali servizi, vedere la relativa documentazione di prodotto.

Aggiungere host membri a una server farm esistente

Se nella gestione di host membri si usano gruppi di sicurezza, aggiungere al gruppo di sicurezza l'account computer del nuovo host membro (ossia il membro dell'account del servizio gestito del gruppo a cui appartengono gli host) tramite uno dei metodi seguenti.

Per eseguire queste procedure, è necessaria almeno l'appartenenza al gruppo Domain Adminso la possibilità di aggiungere membri all'oggetto gruppo di sicurezza.

Se si usano account computer, trovare gli account esistenti e aggiungere il nuovo account computer.

Per eseguire questa procedura, è necessaria almeno l'appartenenza ai gruppi Domain Adminso Account Operatorso la possibilità di gestire oggetti msDS-GroupManagedServiceAccount. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.

Aggiungere host membri con PowerShell

  1. Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.

  2. Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Nell'esempio seguente viene aggiunto un membro a una server farm usando i parametri riportati nella tabella.

Parametro Stringa Esempio
Nome Nome dell'account ITFarm1
PrincipalsAllowedToRetrieveManagedPassword Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri Host1, Host2, Host3

Nell'esempio seguente si ottengono i membri correnti della farm ITFarm1.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

Nell'esempio seguente vengono aggiunti host membri a una server farm esistente ITFarm1.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

Aggiornare delle proprietà dell'account del servizio gestito di gruppo

Per eseguire queste procedure, è necessaria almeno l'appartenenza ai gruppi Domain Adminso Account Operatorso la possibilità di scrivere oggetti msDS-GroupManagedServiceAccount.

Aprire il modulo Active Directory per Windows PowerShell e impostare le proprietà con il cmdlet Set-ADServiceAccount.

Per altre informazioni su come impostare queste proprietà, vedere Set-ADServiceAccount nella libreria TechNet o digitare Get-Help Set-ADServiceAccount al prompt dei comandi del modulo Active Directory per Windows PowerShell e premere INVIO.

Rimuovere host membri da una server farm esistente

Per eseguire queste procedure, è necessaria almeno l'appartenenza al gruppo Domain Adminso la possibilità di rimuovere membri dall'oggetto gruppo di sicurezza.

Se nella gestione di host membri si usano gruppi di sicurezza, eliminare l'account computer dell'host membro da rimuovere dal gruppo di sicurezza a cui appartengono gli host membri dell'account del servizio gestito del gruppo, tramite uno dei metodi seguenti.

Nel caso di elenchi di account computer, recuperare gli account esistenti e aggiungerli tutti tranne l'account computer rimosso.

Per eseguire questa procedura, è necessaria almeno l'appartenenza ai gruppi Domain Adminso Account Operatorso la possibilità di gestire oggetti msDS-GroupManagedServiceAccount. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.

Rimuovere host membri usando PowerShell

  1. Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.

  2. Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Nell'esempio seguente viene rimosso un membro da una server farm usando i parametri riportati nella tabella.

Parametro Stringa Esempio
Nome Nome dell'account ITFarm1
PrincipalsAllowedToRetrieveManagedPassword Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri Host1, Host3

Nell'esempio seguente si ottengono i membri correnti della farm ITFarm1.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

Nell'esempio seguente vengono rimossi gli host membri da una server farm esistente ITFarm1.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

Rimuovere un account del servizio gestito del gruppo dal sistema

Rimuovere dall'host membro le credenziali dell'account del servizio gestito del gruppo memorizzate nella cache usando il cmdlet Uninstall-ADServiceAccount o l'API NetRemoveServiceAccount nel sistema host.

Per completare queste procedure è necessaria almeno l'appartenenza al gruppo Administratorsoppure a un gruppo equivalente.

Rimuovere un gMSA con PowerShell

  1. Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.

  2. Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:

    Uninstall-ADServiceAccount <ADServiceAccount>

    Nell'esempio seguente viene disinstallato un account del servizio gestito di Active Directory da un computer.

    Uninstall-ADServiceAccount ITFarm1

Per altre informazioni sul cmdlet Uninstall-ADServiceAccount, al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare Get-Help Uninstall-ADServiceAccounte quindi premere INVIO o vedere la pagina del sito Web TechNet dedicata al cmdlet Uninstall-ADServiceAccount.

Contenuto correlato