Tworzenie konta usługi zarządzanej przez grupę (gMSA) w usługach Microsoft Entra Domain Services

Artykuł
12.03.2025

Aplikacje i usługi często potrzebują tożsamości do uwierzytelniania się przy użyciu innych zasobów. Na przykład usługa internetowa może wymagać uwierzytelnienia w usłudze bazy danych. Jeśli aplikacja lub usługa ma wiele wystąpień, takich jak farma serwerów webowych, ręczne tworzenie i konfigurowanie tożsamości dla tych zasobów jest czasochłonne.

Zamiast tego można utworzyć konto usługi zarządzane przez grupę (gMSA) w domenie zarządzanej usług Microsoft Entra Domain Services. System operacyjny Windows automatycznie zarządza poświadczeniami dla gMSA (Grupa Zarządzanego Konta Usługowego), co upraszcza zarządzanie dużymi grupami zasobów.

W tym artykule pokazano, jak utworzyć gMSA w domenie zarządzanej przy użyciu programu Azure PowerShell.

Przed rozpoczęciem

Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:

Aktywna subskrypcja platformy Azure.
- Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
Dzierżawa Microsoft Entra powiązana z Twoją subskrypcją, zsynchronizowana z usługą katalogową lokalną lub pracującą wyłącznie w chmurze.
- W razie potrzeby utwórz dzierżawę Microsoft Entra lub skojarz subskrypcję Azure z kontem.
W dzierżawie Microsoft Entra jest włączona i skonfigurowana zarządzana domena usługi Microsoft Entra Domain Services.
- W razie potrzeby ukończ samouczek, aby utworzyć i skonfigurować zarządzaną domenę usługą Microsoft Entra Domain Services.
Maszyna wirtualna zarządzania systemem Windows Server przyłączona do domeny zarządzanej usług domenowych.
- W razie potrzeby ukończ samouczek, aby utworzyć maszynę wirtualną do zarządzania.

Omówienie zarządzanych kont usług

Autonomiczne zarządzane konto usługi (sMSA) to konto domeny, którego hasło jest automatycznie zarządzane. Takie podejście upraszcza zarządzanie główną nazwą usługi (SPN) i umożliwia delegowanie zarządzania innym administratorom. Nie musisz ręcznie tworzyć i obracać poświadczeń dla konta.

Konto usługi zarządzane przez grupę (gMSA) zapewnia to samo uproszczenie zarządzania, ale dla wielu serwerów w domenie. GMSA umożliwia wszystkim instancjom usługi hostowanej w farmie serwerów użycie tej samej zasady serwisowej, aby protokoły wzajemnego uwierzytelniania działały poprawnie. Gdy gMSA jest używana jako jednostka usługi, system operacyjny Windows ponownie zarządza hasłem konta zamiast polegać na administratorze.

Aby uzyskać więcej informacji, zobacz konta usługi zarządzane przez grupę (gMSA) — omówienie.

Korzystanie z kont usług w usługach Domain Services

Ponieważ domeny zarządzane są zablokowane i zarządzane przez firmę Microsoft, podczas korzystania z kont usług należy wziąć pod uwagę pewne kwestie:

Utwórz konta usług w niestandardowych jednostkach organizacyjnych w domenie zarządzanej.
- Nie można utworzyć konta usługi we wbudowanych jednostkach organizacyjnych użytkowników AADDC lub komputerów AADDC.
- Zamiast tego utwórz niestandardową jednostkę organizacyjną w domenie zarządzanej, a następnie utwórz konta usług w tej niestandardowej jednostce organizacyjnej.
Klucz główny usług dystrybucji kluczy (KDS) został wstępnie utworzony.
- Klucz główny KDS służy do generowania i pobierania haseł dla zarządzanych kont usług. W usługach Domain Services zostanie utworzony katalog główny KDS.
- Nie masz uprawnień do tworzenia innego lub wyświetlania domyślnego klucza głównego usługi KDS.

Tworzenie grupowego konta zarządzanego dla usług

Najpierw utwórz niestandardową jednostkę organizacyjną przy użyciu polecenia cmdlet New-ADOrganizationalUnit. Aby uzyskać więcej informacji na temat tworzenia niestandardowych jednostek organizacyjnych i zarządzania nimi, zobacz Niestandardowe Jednostki Organizacyjne w Usługach Domain Services.

Porada

Aby wykonać te kroki w celu utworzenia gMSA, użyj maszyny wirtualnej do zarządzania. Ta maszyna wirtualna zarządzania powinna mieć już wymagane polecenia cmdlet programu AD PowerShell i połączenie z zarządzaną domeną.

Poniższy przykład tworzy niestandardową jednostkę organizacyjną o nazwie myNewOU w domenie zarządzanej o nazwie aaddscontoso.com. Użyj własnej jednostki organizacyjnej i nazwy domeny zarządzanej:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Teraz utwórz konto gMSA przy użyciu polecenia cmdlet New-ADServiceAccount. Zdefiniowano następujące przykładowe parametry:

- Nazwa została ustawiona na WebFarmSvc
-Path parametr określa niestandardową jednostkę organizacyjną dla grupowego konta zarządzanych usług utworzonego w poprzednim kroku.
Wpisy DNS i nazwy główne usługi są ustawione dla WebFarmSvc.aaddscontoso.com
Użytkownicy w AADDSCONTOSO-SERVER$ są uprawnieni do pobierania hasła i korzystania z tożsamości.

Określ własne nazwy i nazwy domen.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Aplikacje i usługi można teraz skonfigurować do korzystania z gMSA zgodnie z potrzebami.

Następne kroki

Aby uzyskać więcej informacji o kontach gMSA, zobacz Wprowadzenie do kont usług zarządzanych przez grupę.

Udostępnij za pośrednictwem