Een door een groep beheerd serviceaccount (gMSA) maken in Microsoft Entra Domain Services

Toepassingen en services hebben vaak een identiteit nodig om zichzelf te verifiëren met andere resources. Een webservice moet bijvoorbeeld worden geverifieerd met een databaseservice. Als een toepassing of service meerdere exemplaren heeft, zoals een webserverfarm, wordt het handmatig maken en configureren van de identiteiten voor deze resources tijdrovend.

In plaats daarvan kan een door een groep beheerd serviceaccount (gMSA) worden gemaakt in het beheerde domein van Microsoft Entra Domain Services. Het Windows-besturingssysteem beheert automatisch de referenties voor een gMSA, wat het beheer van grote groepen resources vereenvoudigt.

In dit artikel leest u hoe u een gMSA maakt in een beheerd domein met behulp van Azure PowerShell.

Voordat u begint

U hebt de volgende resources en bevoegdheden nodig om dit artikel te voltooien:

• Een actief Azure-abonnement.
  • Als u nog geen Azure-abonnement hebt, maakt u een account.
• Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een cloudmap.
  • Maak indien nodig een Microsoft Entra-tenant of koppel een Azure-abonnement aan uw account.
• Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
  • Voltooi zo nodig de zelfstudie voor het maken en configureren van een door Microsoft Entra Domain Services beheerd domein.
• Een Windows Server-beheer-VM die is gekoppeld aan het beheerde domein Domain Services.
  • Voltooi indien nodig de zelfstudie voor het maken van een beheer-VM.

Overzicht van beheerde serviceaccounts

Een zelfstandig beheerd serviceaccount (sMSA) is een domeinaccount waarvan het wachtwoord automatisch wordt beheerd. Deze aanpak vereenvoudigt het beheer van de service-principal name (SPN) en maakt gedelegeerd beheer mogelijk voor andere beheerders. U hoeft geen referenties voor het account handmatig te maken en te roteren.

Een door een groep beheerd serviceaccount (gMSA) biedt dezelfde beheer vereenvoudigen, maar voor meerdere servers in het domein. Met een gMSA kunnen alle exemplaren van een service die wordt gehost op een serverfarm dezelfde service-principal gebruiken om wederzijdse verificatieprotocollen te laten werken. Wanneer een gMSA wordt gebruikt als service-principal, beheert het Windows-besturingssysteem het wachtwoord van het account opnieuw in plaats van dat het afhankelijk is van de beheerder.

Zie het overzicht van door groepen beheerde serviceaccounts (gMSA) voor meer informatie.

Serviceaccounts gebruiken in Domain Services

Aangezien beheerde domeinen worden vergrendeld en beheerd door Microsoft, zijn er enkele overwegingen bij het gebruik van serviceaccounts:

• Maak serviceaccounts in aangepaste organisatie-eenheden (OE) in het beheerde domein.
  • U kunt geen serviceaccount maken in de ingebouwde AADDC-gebruikers of AADDC Computers OE's.
  • Maak in plaats daarvan een aangepaste organisatie-eenheid in het beheerde domein en maak vervolgens serviceaccounts in die aangepaste organisatie-eenheid.
• De basissleutel Key Distribution Services (KDS) is vooraf gemaakt.
  • De KDS-hoofdsleutel wordt gebruikt voor het genereren en ophalen van wachtwoorden voor gMSA's. In Domain Services wordt de KDS-hoofdmap voor u gemaakt.
  • U hebt geen bevoegdheden om een andere sleutel te maken of de standaard-KDS-hoofdsleutel weer te geven.

Een gMSA maken

Maak eerst een aangepaste organisatie-eenheid met behulp van de cmdlet New-ADOrganizationalUnit . Zie Aangepaste OE's in Domain Services voor meer informatie over het maken en beheren van aangepaste OE's.

Tip

Als u deze stappen wilt uitvoeren om een gMSA te maken, gebruikt u uw beheer-VM. Deze beheer-VM moet al over de vereiste AD PowerShell-cmdlets en verbinding met het beheerde domein beschikken.

In het volgende voorbeeld wordt een aangepaste organisatie-eenheid met de naam myNewOU gemaakt in het beheerde domein met de naam aaddscontoso.com. Gebruik uw eigen organisatie-eenheid en beheerde domeinnaam:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Maak nu een gMSA met behulp van de cmdlet New-ADServiceAccount . De volgende voorbeeldparameters zijn gedefinieerd:

• -Naam is ingesteld op WebFarmSvc
• -Padparameter geeft de aangepaste OE op voor de gMSA die in de vorige stap is gemaakt.
• DNS-vermeldingen en service-principalnamen zijn ingesteld voor WebFarmSvc.aaddscontoso.com
• Principals in AADDSCONTOSO-SERVER$ mogen het wachtwoord ophalen en de identiteit gebruiken.

Geef uw eigen namen en domeinnamen op.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Toepassingen en services kunnen nu zo nodig worden geconfigureerd om de gMSA te gebruiken.

Volgende stappen

Zie Aan de slag met door groepen beheerde serviceaccounts voor meer informatie over gMSA's.