Omówienie kont usług zarządzanych przez grupę
W tym artykule dla specjalistów IT przedstawiono konto usługi zarządzane przez grupę (gMSA), opisując praktyczne aplikacje, zmiany w implementacji firmy Microsoft oraz wymagania dotyczące sprzętu i oprogramowania.
Opis funkcji
Autonomiczne zarządzane konto usługi (sMSA) to zarządzane konto domeny, które zapewnia automatyczne zarządzanie hasłami, uproszczone zarządzanie główną nazwą usługi (SPN) oraz możliwość delegowania zarządzania do innych administratorów. Administratorzy domeny mogą delegować zarządzanie usługami do administratorów usług, którzy mogą zarządzać całym cyklem życia zarządzanego konta usługi lub zarządzanego konta usługi grupy. Istniejące komputery klienckie mogą uwierzytelniać się w dowolnej takiej usłudze bez znajomości wystąpienia usługi, do którego są uwierzytelniane. Ten typ zarządzanego konta usługi (MSA) został wprowadzony w systemach Windows Server 2008 R2 i Windows 7.
Konto usługi zarządzane przez grupę (gMSA) zapewnia te same funkcje w domenie, a także rozszerza tę funkcjonalność na wiele serwerów. Pozwala to zminimalizować koszty administracyjne konta usługi, umożliwiając systemowi Windows obsługę zarządzania hasłami dla tych kont. Po nawiązaniu połączenia z usługą hostowaną w farmie serwerów, takiej jak rozwiązanie z równoważeniem obciążenia sieciowego, protokoły uwierzytelniania obsługujące wzajemne uwierzytelnianie wymagają wszystkich wystąpień usług do korzystania z tej samej jednostki. Jeśli używasz kontrolowanego konta usługowego jako jednostki usługi, operator systemu Windows zarządza hasłem dla konta zamiast polegać na administratorze w zarządzaniu hasłem.
Usługa dystrybucji kluczy firmy Microsoft (kdssvc.dll) umożliwia bezpieczne uzyskanie najnowszego klucza lub określonego klucza przy użyciu identyfikatora klucza dla konta usługi Active Directory. Usługa dystrybucji kluczy udostępnia tajny klucz, używany do tworzenia kluczy dla konta. Te klucze okresowo zmieniają się. W przypadku gMSA kontroler domeny oblicza hasło na podstawie klucza dostarczonego przez usługi dystrybucji kluczy, wraz z innymi atrybutami gMSA. Hosty członkowskie mogą uzyskać bieżące i poprzednie wartości haseł, kontaktując się z kontrolerem domeny.
Zastosowania praktyczne
gMSAs zapewniają pojedyncze rozwiązanie tożsamości dla usług działających w farmie serwerów lub w systemach za równoważnikiem obciążenia sieciowego. Udostępniając rozwiązanie gMSA, można skonfigurować usługi dla nowego głównego konta gMSA, podczas gdy system Windows obsługuje zarządzanie hasłami.
Gdy usługi lub administratorzy usług korzystają z grupowego konta zarządzanego przez usługę (gMSA), nie muszą zarządzać synchronizacją haseł między wystąpieniami usługi. gMSA obsługuje hosty pozostające w trybie offline przez dłuższy czas i zarządza hostami członkowskimi dla wszystkich instancji usługi. Można wdrożyć farmę serwerów, która obsługuje jedną tożsamość, z którą mogą się uwierzytelniać istniejące komputery klienckie bez konieczności znajomości wystąpienia usługi, z którym się łączą.
Mimo że klastry trybu failover nie zapewniają obsługi kont gMSA, usługi działające w ramach usługi klastra mogą korzystać z gMSA lub sMSA, jeśli są usługami systemu Windows, pulami aplikacji, zaplanowanymi zadaniami lub jeśli natywnie obsługują gMSA lub sMSA.
Wymagania dotyczące oprogramowania
Aby uruchomić polecenia programu Windows PowerShell potrzebne do zarządzania kontami gMSA, musisz mieć architekturę 64-bitową.
Zarządzane konto usługi zależy od obsługiwanych typów szyfrowania Kerberos. Gdy komputer kliencki uwierzytelnia się na serwerze przy użyciu protokołu Kerberos, kontroler domeny tworzy bilet usługi Kerberos chroniony szyfrowaniem, które obsługuje zarówno kontroler domeny, jak i serwer. Kontroler domeny używa atrybutu konta msDS-SupportedEncryptionTypes, aby określić, jakie szyfrowanie obsługuje serwer. Jeśli nie ma atrybutu, kontroler domeny traktuje komputer kliencki, jakby nie obsługiwał silniejszych typów szyfrowania. Jeśli host został skonfigurowany tak, aby nie obsługiwał wersji RC4, uwierzytelnianie zawsze kończy się niepowodzeniem. Z tego powodu należy zawsze skonfigurować usługę AES dla msAs.
Uwaga
Od systemu Windows Server 2008 R2 des jest domyślnie wyłączony. Aby uzyskać więcej informacji na temat obsługiwanych typów szyfrowania, zobacz Zmiany w uwierzytelnianiu Kerberos.
Notatka
Konta gMSA nie mają zastosowania do systemów operacyjnych Windows starszych niż Windows Server 2012. W przypadku systemu Windows Server 2012 polecenia cmdlet programu Windows PowerShell domyślnie zarządzają kontami gMSA zamiast kont usług zarządzanych przez serwer.
Informacje o Menedżerze serwera
Nie musisz wykonywać żadnej dodatkowej konfiguracji w celu zaimplementowania usługi MSA i gMSA przy użyciu Menedżera serwera ani polecenia cmdlet Install-WindowsFeature.
Następne kroki
Oto kilka innych zasobów, które można przeczytać, aby dowiedzieć się więcej o zarządzanych kontach usług:
- Dokumentacja kont usług zarządzanych dla systemów Windows 7 i Windows Server 2008 R2
- Przewodnik krok po kroku dotyczący kont usług
- Rozpoczynanie pracy z kontami usług zarządzanymi przez grupę
- Kontrolowane konta usługowe w Usługach domenowych Active Directory
- Zarządzane Konta Usług: Opis, Wdrażanie, Najlepsze Praktyki i Rozwiązywanie Problemów
- Active Directory Domain Services — omówienie