What's New for Managed Service Accounts
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
In questo argomento per i professionisti IT vengono descritte le modifiche di funzionalità per gli account del servizio gestiti a seguito dell'introduzione dell'account del servizio gestito del gruppo (gMSA) in Windows Server 2012 e Windows 8.
L'account del servizio gestito è progettato per fornire servizi e attività, ad esempio servizi di Windows e pool di applicazioni IIS per condividere i relativi account di dominio, per consentire così agli amministratori di non dover amministrare manualmente le password per tali account. Si tratta di un account di un dominio gestito che offre la gestione automatica delle password.
Novità relative agli account del servizio gestiti in Windows Server 2012 e Windows 8
Di seguito vengono descritte le modifiche apportate alle funzionalità dell'account del servizio gestito in Windows Server 2012 e Windows 8.
Account del servizio gestito di gruppo
Quando per un server in un dominio è configurato un account di dominio, il computer client può eseguire l'autenticazione e la connessione al servizio in questione. In precedenza, solo due tipi di account erano in grado di fornire l'identità senza richiedere la gestione delle password. Questi tipi di account presentano tuttavia alcune limitazioni:
L'account del computer è limitato a un server di dominio e le password sono gestite dal computer
L'account del servizio gestito è limitato a un server di dominio e le password sono gestite dal computer
Tali account non possono essere condivisi tra più sistemi. È pertanto necessario gestire regolarmente l'account per ogni servizio e in ogni sistema per evitare che scadano le relative password.
Valore aggiunto da queste modifiche
L'account del servizio gestito del gruppo risolve questo problema in quanto la password dell'account è gestita dai controller di dominio di Windows Server 2012 e può essere recuperata da più sistemi Windows Server 2012. In questo modo è possibile ridurre il sovraccarico amministrativo di un account del servizio consentendo a Windows di gestire le password per tali account.
Differenze di funzionamento
Nei computer in cui è in esecuzione Windows Server 2012 o Windows 8 è possibile creare e gestire un account del servizio gestito del gruppo tramite Gestione controllo servizi, affinché numerose istanze del servizio, ad esempio distribuite in una server farm, possano essere gestite da un solo server. Gli strumenti e le utilità utilizzati per la gestione degli account del servizio gestiti, ad esempio Gestione pool di applicazioni IIS, possono essere utilizzati anche con gli account del servizio gestiti del gruppo. Gli amministratori di dominio possono delegare la gestione dei servizi agli amministratori dei servizi che possono gestire l'intero ciclo di vita di un account del servizio gestito o di un account del servizio gestito del gruppo. I computer client esistenti potranno eseguire l'autenticazione per qualsiasi servizio senza conoscere l'istanza del servizio in cui stanno eseguendo l'autenticazione.
Funzionalità rimosse o deprecate
In Windows Server 2012, per impostazione predefinita i cmdlet di Windows PowerShell gestiscono gli account del servizio gestiti del gruppo anziché gli account del servizio gestiti del server.