Panoramica degli account del servizio gestiti del gruppo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

In questo articolo per i professionisti IT vengono presentati gli account del servizio gestiti di gruppo, le relative applicazioni pratiche, le modifiche all'implementazione di Microsoft e i requisiti hardware e software.

Descrizione

Un account del servizio gestito autonomo (sMSA) è un account di dominio gestito che garantisce la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN) e la possibilità di delegare la gestione ad altri amministratori. Questo tipo di account del servizio gestito è stato introdotto in Windows Server 2008 R2 e Windows 7.

L'account del servizio gestito di gruppo offre le stesse funzionalità all'interno del dominio, ma le estende su più server. Durante la connessione a un servizio ospitato in una server farm, ad esempio la soluzione Bilanciamento carico di rete, i protocolli di autenticazione che supportano l'autenticazione reciproca richiedono che tutte le istanze dei servizi utilizzino la stessa entità. Quando gli account del servizio gestiti di gruppo vengono utilizzati come entità del servizio, il sistema operativo Windows gestisce la password dell'account anziché affidarsi a un amministratore.

Il Servizio distribuzione chiavi Microsoft (kdssvc.dll) consente di ottenere in modo sicuro la chiave più recente o una chiave specifica con un identificatore chiave per un account Active Directory. Il Servizio distribuzione chiavi condivide un segreto che viene utilizzato per creare le chiavi per l'account. Tali chiavi vengono modificate periodicamente. Per un account del servizio gestito di gruppo, il controller di dominio calcola la password nella chiave fornita dal Servizio distribuzione chiavi, insieme ad altri attributi dell'account del servizio gestito di gruppo. Gli host membri possono ottenere i valori della password corrente e di quella precedente contattando un controller di dominio.

Applicazioni pratiche

Gli account del servizio gestiti di gruppo offrono un'unica soluzione di identità per i servizi in esecuzione in una server farm o nei sistemi sottostanti a Bilanciamento carico di rete. Fornendo una soluzione di account del servizio gestiti di gruppo, è possibile configurare i servizi per la nuova entità del servizio gestito di gruppo mentre Windows gestisce le password.

Un account del servizio gestito di gruppo evita ai servizi o agli amministratori dei servizi di gestire la sincronizzazione delle password tra istanze dei servizi. L'account del servizio gestito di gruppo supporta gli host che rimangono disconnessi per periodi prolungati e gestisce gli host membri per tutte le istanze di un servizio. È possibile distribuire una server farm in grado di supportare una singola identità a cui tutti i computer client esistenti possono autenticarsi senza che sia nota l'istanza del servizio a cui si stanno connettendo.

I cluster di failover non supportano gli account del servizio gestiti di gruppo. Tuttavia, i servizi eseguiti sul servizio cluster possono usare un account del servizio gestito di gruppo o autonomo se si tratta di un servizio Windows, di un pool di applicazioni, di un'attività pianificata o se supportano gli account del servizio gestito di gruppo o autonomi a livello nativo.

Requisiti software

Per eseguire i comandi di Windows PowerShell necessari per amministrare gli account del servizio gestito di gruppo, è necessario disporre di un'architettura a 64 bit.

Un account del servizio gestito dipende dai tipi di crittografia supportati da Kerberos. Quando un computer client esegue l'autenticazione a un server che utilizza Kerberos, il controller di dominio crea un ticket di servizio Kerberos con una crittografia supportata sia dal controller di dominio che dal server. Il controller di dominio usa l'attributo msDS-SupportedEncryptionTypes dell'account per determinare la crittografia supportata dal server. Se l'attributo non è presente, presuppone che il computer client non supporti tipi di crittografia più avanzati. Se l'host è configurato per non supportare la crittografia RC4, l'autenticazione avrà sempre esito negativo. Per questo motivo, è consigliabile configurare sempre AES per gli account del servizio gestito.

Nota

A partire da Windows Server 2008 R2, la crittografia DES è disabilitata per impostazione predefinita. Per altre informazioni sui tipi di crittografia supportati, vedere Modifiche all'autenticazione Kerberos.

Non è possibile applicare gli account del servizio gestiti di gruppo ai sistemi operativi Windows precedenti a Windows Server 2012.

Informazioni su Server Manager

Non è necessario eseguire alcuna configurazione aggiuntiva per implementare gli account del servizio gestito di gruppo e autonomi usando Server Manager o il cmdlet Install-WindowsFeature.

Passaggi successivi

Ecco alcune altre risorse che è possibile consultare per altre informazioni sugli account del servizio gestito:

• Novità per gli account del servizio gestito
• Documentazione relativa agli account dei servizi gestiti per Windows 7 e Windows Server 2008 R2
• Guida dettagliata agli account del servizio gestiti
• Account del servizio gestito in Active Directory
• Guida introduttiva alla funzionalità Account del servizio gestito di gruppo
• Account del servizio gestito in Active Directory Domain Services
• Account del servizio gestito: informazioni, implementazione, procedure consigliate e risoluzione dei problemi
• Active Directory Domain Services Overview (Panoramica di Active Directory Domain Services)