What's New for Managed Service Accounts

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

IT 担当者向けのこのトピックでは、Windows Server 2012 および Windows 8 に導入されたグループの管理されたサービス アカウント (gMSA) における、管理されたサービス アカウントの機能変更について説明します。

管理されたサービス アカウントは、Windows サービスや IIS アプリケーション プールなど、独自のドメイン アカウントを共有するサービスとタスクを提供できるように設計されたものです。管理者にとっては、これらのアカウントのパスワードを手動で管理する必要がなくなります。 管理されたサービス アカウントは、パスワードの自動管理が可能な管理されたドメイン アカウントです。

Windows Server 2012 および Windows 8 における管理されたサービス アカウントの新機能

以下では、Windows Server 2012 および Windows 8 における MSA の機能の変更について説明します。

Group Managed Service Accounts

ドメイン アカウントがドメイン内のサーバーに対して構成されている場合、クライアント コンピューターは、そのサービスに対して認証を行い、接続できます。 これまでは、パスワードを管理しなくても ID が提供されたアカウントは 2 種類だけで、 次のような制限もありました。

• コンピューター アカウントは、1 つのドメイン サーバーに制限され、パスワードはコンピューターによって管理される

• 管理されたサービス アカウントは、1 つのドメイン サーバーに制限され、パスワードはコンピューターによって管理される

これらのアカウントを複数のシステムで共有することはできません。 したがって、パスワードの有効期限が切れるのを防ぐために、各システムのサービスごとにアカウントを維持する作業が定期的に発生します。

この変更の利点

グループの管理されたサービス アカウントの場合、アカウント パスワードは Windows Server 2012 ドメイン コントローラーで管理され、複数の Windows Server 2012 システムで取得されるため、この問題が解決されています。 Windows でこれらのアカウントのパスワード管理を処理できるようになるため、サービス アカウントの管理にかかわるオーバーヘッドが最小限に抑えられます。

動作の相違点

Windows Server 2012 または Windows 8 が実行されているコンピューターでは、グループの MSA をサービス コントロール マネージャーから作成および管理できるため、サービスの多数のインスタンス (サーバー ファームに展開されたサービス インスタンスなど) を単一のサーバーから管理できます。 管理されたサービス アカウントの管理に使用していたツールとユーティリティ (IIS アプリケーション プール マネージャーなど) は、グループの管理されたサービス アカウントにも使用できます。 ドメイン管理者は、サービスの管理をサービス管理者に委任できます。サービス管理者は、管理されたサービス アカウントまたはグループの管理されたサービス アカウントのライフサイクル全体を管理できます。 既存のクライアント コンピューターは、認証先のサービス インスタンスを把握しなくても、こうしたサービスに対して認証を実行できるようになります。

削除された機能または非推奨の機能

Windows Server 2012 での Windows PowerShell コマンドレットの既定の用途は、サーバーの管理されたサービス アカウントではなくグループの管理されたサービス アカウントを管理することです。

その他の参照情報

• グループの管理されたサービス アカウントの概要

• Active Directory Domain Services の概要

• Managed Service Accounts:Understanding, Implementing, Best Practices, and Troubleshooting (管理されたサービス アカウント: 理解、実装、ベスト プラクティス、およびトラブルシューティング)