Group Managed Service Accounts Overview

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Este tópico para o profissional de TI apresenta a Conta de Serviço Gerenciado de grupo (gMSA), descrevendo aplicações práticas, alterações nos requisitos de hardware, software e implantação da Microsoft.

Descrição do recurso

Uma sMSA (conta de serviço gerenciado independente) é uma conta de domínio gerenciado que fornece gerenciamento automático de senha, gerenciamento de SPN (nome da entidade de serviço) simplificado e a capacidade de delegar o gerenciamento para outros administradores. Esse tipo de MSA (conta de serviço gerenciado) foi introduzido no Windows Server 2008 R2 e no Windows 7.

A gMSA (Conta de Serviço Gerenciado de grupo) fornece a mesma funcionalidade dentro do domínio, mas também estende essa funcionalidade por vários servidores. Ao se conectarem a um serviço hospedado em um farm de servidores, como uma solução com Balanceamento de Carga de Rede, os protocolos de autenticação que oferecem suporte para autenticação mútua exigem que todas as instâncias dos serviços usem a mesma entidade de serviço. Quando uma gMSA é usada como uma entidade de serviço, o sistema operacional Windows gerencia a senha da conta em vez de depender do administrador para esse gerenciamento.

O Serviço de Distribuição de Chaves da Microsoft (kdssvc.dll) fornece o mecanismo para obter de forma segura a chave mais recente ou uma chave específica com um identificador de chave para uma conta do Active Directory. O Serviço de Distribuição de Chaves compartilha um segredo que é usado para criar chaves para a conta. Essas chaves são alteradas periodicamente. Para uma gMSA, o controlador de domínio calcula a senha na chave fornecida pelos Serviços de Distribuição de Chaves, além de outros atributos da gMSA. Hosts membros podem obter os valores de senha atuais e precedentes entrando em contato com um controlador de domínio.

Aplicações práticas

As gMSAs fornecem uma solução de identidade única para serviços executados em um farm de servidores ou em sistemas por trás do Balanceador de Carga de Rede. Ao fornecer uma solução gMSA, você pode configurar serviços para a nova entidade de serviço da gMSA enquanto o Windows lida com o gerenciamento de senhas.

Usando uma gMSA, os serviços ou administradores de serviços não precisam gerenciar a sincronização de senha entre instâncias de serviço. A gMSA fornece suporte para hosts que são mantidos offline por um período de tempo extenso e gerencia hosts membros para todas as instâncias de um serviço. Você pode implantar um farm de servidores que dá suporte a uma única identidade que computadores cliente existentes podem usar para autenticação sem precisar saber a qual instância de serviço eles estão se conectando.

Os clusters de failover não dão suporte a gMSAs. No entanto, os serviços que são executados sobre o Serviço de cluster poderão usar uma gMSA ou uma sMSA, se forem um serviço Windows, um pool de aplicativos, uma tarefa agendada ou oferecerem suporte nativo a uma gMSA ou uma sMSA.

Requisitos de software

Para executar os comandos do Windows PowerShell necessários para administrar gMSAs, você deve ter uma arquitetura de 64 bits.

Uma conta de serviço gerenciada depende dos tipos de criptografia compatíveis com o Kerberos. Quando um computador cliente é autenticado em um servidor usando Kerberos, o DC cria um tíquete de serviço Kerberos protegido com criptografia ao qual o DC e o servidor dão suporte. O DC usa o atributo msDS-SupportedEncryptionTypes da conta para determinar a qual criptografia o servidor dá suporte. Se não houver um atributo, o DC tratará o computador cliente como se ele não oferecesse suporte a tipos de criptografia mais fortes. Se você configurou o host para não dar suporte ao RC4, a autenticação sempre falhará. Por esse motivo, você sempre deve configurar o AES para MSAs.

Observação

A partir do Windows Server 2008 R2, o DES fica desabilitado por padrão. Para obter mais informações sobre os tipos de criptografia com suporte, consulte Alterações da autenticação do Kerberos.

As gMSAs não são aplicáveis aos sistemas operacionais Windows anteriores ao Windows Server 2012.

Informações sobre o Gerenciador do Servidor

Você não precisa fazer nenhuma configuração extra para implementar MSAs e gMSAs usando o Gerenciador do Servidor ou o cmdlet Install-WindowsFeature.

Próximas etapas

Aqui estão alguns outros recursos que você pode ler para saber mais sobre as contas de serviço gerenciado:

• Novidades das Contas de Serviço Gerenciado
• Documentação de Contas de Serviço Gerenciado para Windows 7 e Windows Server 2008 R2
• Guia Passo a Passo das Contas de Serviço
• Contas de Serviço Gerenciado no Active Directory
• Introdução a contas de serviços gerenciados em grupo
• Contas de Serviço Gerenciado no Active Directory Domain Services
• Contas de Serviços Gerenciados: compreendendo, implementando, práticas recomendadas e solução de problemas
• Visão geral do Active Directory Domain Services