Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule dla specjalistów IT przedstawiono konto usługi zarządzane przez grupę (gMSA), opisując praktyczne aplikacje, zmiany w implementacji firmy Microsoft oraz wymagania dotyczące sprzętu i oprogramowania.
Feature description
Autonomiczne zarządzane konto usługi (sMSA) to zarządzane konto domeny, które zapewnia automatyczne zarządzanie hasłami, uproszczone zarządzanie główną nazwą usługi (SPN) oraz możliwość delegowania zarządzania do innych administratorów. Administratorzy domeny mogą delegować zarządzanie usługami do administratorów usług, którzy mogą zarządzać całym cyklem życia zarządzanego konta usługi lub zarządzanego konta usługi grupy. Istniejące komputery klienckie mogą uwierzytelniać się w dowolnej takiej usłudze bez znajomości wystąpienia usługi, do którego są uwierzytelniane. Ten typ zarządzanego konta usługi (MSA) został wprowadzony w systemach Windows Server 2008 R2 i Windows 7.
Konto usługi zarządzane przez grupę (gMSA) zapewnia te same funkcje w domenie, a także rozszerza tę funkcjonalność na wiele serwerów. Pozwala to zminimalizować koszty administracyjne konta usługi, umożliwiając systemowi Windows obsługę zarządzania hasłami dla tych kont. Po nawiązaniu połączenia z usługą hostowaną w farmie serwerów, takiej jak rozwiązanie z równoważeniem obciążenia sieciowego, protokoły uwierzytelniania obsługujące wzajemne uwierzytelnianie wymagają wszystkich wystąpień usług do korzystania z tej samej jednostki. Jeśli używasz kontrolowanego konta usługowego jako jednostki usługi, operator systemu Windows zarządza hasłem dla konta zamiast polegać na administratorze w zarządzaniu hasłem.
Usługa dystrybucji kluczy firmy Microsoft (kdssvc.dll) umożliwia bezpieczne uzyskanie najnowszego klucza lub określonego klucza przy użyciu identyfikatora klucza dla konta usługi Active Directory. Usługa dystrybucji kluczy udostępnia tajny klucz, używany do tworzenia kluczy dla konta. Te klucze okresowo zmieniają się. W przypadku gMSA kontroler domeny oblicza hasło na podstawie klucza dostarczonego przez usługi dystrybucji kluczy, wraz z innymi atrybutami gMSA. Hosty członkowskie mogą uzyskać bieżące i poprzednie wartości haseł, kontaktując się z kontrolerem domeny.
Practical applications
gMSAs zapewniają pojedyncze rozwiązanie tożsamości dla usług działających w farmie serwerów lub w systemach za równoważnikiem obciążenia sieciowego. Udostępniając rozwiązanie gMSA, można skonfigurować usługi dla nowego głównego konta gMSA, podczas gdy system Windows obsługuje zarządzanie hasłami.
Gdy usługi lub administratorzy usług korzystają z grupowego konta zarządzanego przez usługę (gMSA), nie muszą zarządzać synchronizacją haseł między wystąpieniami usługi. gMSA obsługuje hosty pozostające w trybie offline przez dłuższy czas i zarządza hostami członkowskimi dla wszystkich instancji usługi. Można wdrożyć farmę serwerów, która obsługuje jedną tożsamość, z którą mogą się uwierzytelniać istniejące komputery klienckie bez konieczności znajomości wystąpienia usługi, z którym się łączą.
Mimo że klastry trybu failover nie zapewniają obsługi kont gMSA, usługi działające w ramach usługi klastra mogą korzystać z gMSA lub sMSA, jeśli są usługami systemu Windows, pulami aplikacji, zaplanowanymi zadaniami lub jeśli natywnie obsługują gMSA lub sMSA.
Software requirements
Aby uruchomić polecenia programu Windows PowerShell potrzebne do zarządzania kontami gMSA, musisz mieć architekturę 64-bitową.
Zarządzane konto usługi zależy od obsługiwanych typów szyfrowania Kerberos. Gdy komputer kliencki uwierzytelnia się na serwerze przy użyciu protokołu Kerberos, kontroler domeny tworzy bilet usługi Kerberos chroniony szyfrowaniem, które obsługuje zarówno kontroler domeny, jak i serwer. The DC uses the account's msDS-SupportedEncryptionTypes attribute to determine what encryption the server supports. Jeśli nie ma atrybutu, kontroler domeny traktuje komputer kliencki, jakby nie obsługiwał silniejszych typów szyfrowania. Jeśli host został skonfigurowany tak, aby nie obsługiwał wersji RC4, uwierzytelnianie zawsze kończy się niepowodzeniem. Z tego powodu należy zawsze skonfigurować usługę AES dla msAs.
Note
Od systemu Windows Server 2008 R2 des jest domyślnie wyłączony. Aby uzyskać więcej informacji na temat obsługiwanych typów szyfrowania, zobacz Zmiany w uwierzytelnianiu Kerberos.
Note
Konta gMSA nie mają zastosowania do systemów operacyjnych Windows starszych niż Windows Server 2012. W przypadku systemu Windows Server 2012 polecenia cmdlet programu Windows PowerShell domyślnie zarządzają kontami gMSA zamiast kont usług zarządzanych przez serwer.
Informacje o Menedżerze serwera
Nie musisz wykonywać żadnej dodatkowej konfiguracji w celu zaimplementowania usługi MSA i gMSA przy użyciu Menedżera serwera ani polecenia cmdlet Install-WindowsFeature.
Next steps
Oto kilka innych zasobów, które można przeczytać, aby dowiedzieć się więcej o zarządzanych kontach usług:
- Dokumentacja zarządzanych kont usług dla systemów Windows 7 i Windows Server 2008 R2
- Przewodnik krok po kroku dotyczący kont usług
- Zarządzanie kontami usług zarządzanymi przez grupę
- Zarządzane konta usług w Active Directory Domain Services
- Zarządzane konta usług: opis, implementacja, najlepsze rozwiązania i rozwiązywanie problemów
- Omówienie usług Active Directory Domain Services