Udostępnij za pośrednictwem


Tworzenie konta usługi zarządzanej przez grupę (gMSA) w usługach Microsoft Entra Domain Services

Aplikacje i usługi często potrzebują tożsamości do uwierzytelniania się przy użyciu innych zasobów. Na przykład usługa internetowa może wymagać uwierzytelnienia w usłudze bazy danych. Jeśli aplikacja lub usługa ma wiele wystąpień, takich jak farma serwerów sieci Web, ręczne tworzenie i konfigurowanie tożsamości dla tych zasobów będzie czasochłonne.

Zamiast tego można utworzyć konto usługi zarządzane przez grupę (gMSA) w domenie zarządzanej usług Microsoft Entra Domain Services. System operacyjny Windows automatycznie zarządza poświadczeniami grupy zarządzanej przez grupę, co upraszcza zarządzanie dużymi grupami zasobów.

W tym artykule pokazano, jak utworzyć gMSA w domenie zarządzanej przy użyciu programu Azure PowerShell.

Zanim rozpoczniesz

Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:

  • Aktywna subskrypcja platformy Azure.
  • Dzierżawa firmy Microsoft Entra skojarzona z twoją subskrypcją, zsynchronizowana z katalogiem lokalnym lub katalogiem tylko w chmurze.
  • Domena zarządzana usług Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie firmy Microsoft Entra.
    • W razie potrzeby ukończ samouczek, aby utworzyć i skonfigurować domenę zarządzaną usług Microsoft Entra Domain Services.
  • Maszyna wirtualna zarządzania systemem Windows Server przyłączona do domeny zarządzanej usług domenowych.

Omówienie zarządzanych kont usług

Autonomiczne zarządzane konto usługi (sMSA) to konto domeny, którego hasło jest automatycznie zarządzane. Takie podejście upraszcza zarządzanie główną nazwą usługi (SPN) i umożliwia delegowanie zarządzania innym administratorom. Nie musisz ręcznie tworzyć i obracać poświadczeń dla konta.

Konto usługi zarządzane przez grupę (gMSA) zapewnia to samo uproszczenie zarządzania, ale dla wielu serwerów w domenie. GMSA umożliwia działanie wszystkich wystąpień usługi hostowanej w farmie serwerów przy użyciu tej samej jednostki usługi, aby protokoły wzajemnego uwierzytelniania działały. Gdy gMSA jest używana jako jednostka usługi, system operacyjny Windows ponownie zarządza hasłem konta zamiast polegać na administratorze.

Aby uzyskać więcej informacji, zobacz Omówienie kont usług zarządzanych przez grupę (gMSA).

Korzystanie z kont usług w usługach Domain Services

Ponieważ domeny zarządzane są zablokowane i zarządzane przez firmę Microsoft, podczas korzystania z kont usług należy wziąć pod uwagę pewne kwestie:

  • Utwórz konta usług w niestandardowych jednostkach organizacyjnych w domenie zarządzanej.
    • Nie można utworzyć konta usługi we wbudowanych jednostkach organizacyjnych AADDC Users lub AADDC Computers .
    • Zamiast tego utwórz niestandardową jednostkę organizacyjną w domenie zarządzanej, a następnie utwórz konta usług w tej niestandardowej jednostki organizacyjnej.
  • Klucz główny usług dystrybucji kluczy (KDS) został wstępnie utworzony.
    • Klucz główny usługi KDS służy do generowania i pobierania haseł dla kont zasad grupy. W usługach Domain Services zostanie utworzony katalog główny usługi KDS.
    • Nie masz uprawnień do tworzenia innego lub wyświetlania domyślnego klucza głównego usługi KDS.

Tworzenie konta zarządzanego przez użytkownika

Najpierw utwórz niestandardową jednostkę organizacyjną przy użyciu polecenia cmdlet New-ADOrganizationalUnit . Aby uzyskać więcej informacji na temat tworzenia niestandardowych jednostek organizacyjnych i zarządzania nimi, zobacz Niestandardowe jednostki organizacyjne w usługach Domenowych.

Napiwek

Aby wykonać te kroki w celu utworzenia konta zarządzanego przez grupę, użyj maszyny wirtualnej zarządzania. Ta maszyna wirtualna zarządzania powinna mieć już wymagane polecenia cmdlet programu Ad PowerShell i połączenie z domeną zarządzaną.

Poniższy przykład tworzy niestandardową jednostkę organizacyjną o nazwie myNewOU w domenie zarządzanej o nazwie aaddscontoso.com. Użyj własnej jednostki organizacyjnej i nazwy domeny zarządzanej:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Teraz utwórz konto gMSA przy użyciu polecenia cmdlet New-ADServiceAccount . Zdefiniowano następujące przykładowe parametry:

  • -Nazwa jest ustawiona na WebFarmSvc
  • -Path parametr określa niestandardową jednostkę organizacyjną dla grupy zarządzanej przez użytkownika utworzonego w poprzednim kroku.
  • Wpisy DNS i nazwy główne usługi są ustawione dla WebFarmSvc.aaddscontoso.com
  • Podmioty zabezpieczeń w AADDSCONTOSO-SERVER$ mogą pobierać hasło i używać tożsamości.

Określ własne nazwy i nazwy domen.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Aplikacje i usługi można teraz skonfigurować do korzystania z konta zarządzanego zgodnie z potrzebami.

Następne kroki

Aby uzyskać więcej informacji o kontach gMSA, zobacz Wprowadzenie do kont usług zarządzanych przez grupę.