Introdução a contas de serviços gerenciados em grupo
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Neste artigo, aprenda como habilitar e usar contas de serviço gerenciado de grupo no Windows Server.
Os protocolos de autenticação com suporte à autenticação mútua, como Kerberos, não podem ser usados, a menos que todas as instâncias dos serviços usem a mesma entidade. Por exemplo, quando um computador cliente se conecta a um serviço que usa balanceamento de carga ou outro método em que todos os servidores parecem ser o mesmo serviço para o cliente. Isso significa que cada serviço deve usar as mesmas senhas ou chaves para provar sua identidade. As contas de serviço gerenciado de grupo (gMSA) são um tipo de conta que pode ser usada com vários servidores. Uma gMSA é uma conta de domínio que pode ser usada para executar serviços em vários servidores sem precisar gerenciar a senha. A gMSA oferece gerenciamento automático de senhas e gerenciamento de nome da entidade de serviço simplificado (SPN), incluindo delegação de gerenciamento a outros administradores.
Observação
Os clusters de failover não dão suporte a gMSAs. No entanto, os serviços que são executados sobre o Serviço de cluster poderão usar uma gMSA ou uma sMSA, se forem um serviço Windows, um pool de aplicativos, uma tarefa agendada ou oferecerem suporte nativo a gMSA ou sMSA.
Os serviços podem escolher a entidade a ser usada. Cada tipo de entidade oferece suporte a diferentes serviços e tem diferentes limitações.
| Principals | Serviços compatíveis | Gerenciamento de senhas |
|---|---|---|
| Conta de Computador do sistema do Windows | Limitado a um servidor ingressado no domínio | O computador gerencia |
| Conta de Computador sem o sistema do Windows | Qualquer servidor ingressado no domínio | Nenhum |
| Conta Virtual | Limitado a um servidor | O computador gerencia |
| Conta de serviço gerenciado autônoma do Windows | Limitado a um servidor ingressado no domínio | O computador gerencia |
| Conta de Usuário | Qualquer servidor ingressado no domínio | Nenhum |
| Conta de Serviço Gerenciado de Grupo | Qualquer servidor associado ao domínio do Windows Server | O controlador de domínio gerencia e o host recupera |
Uma conta de computador do Windows, uma sMSA (conta de serviço gerenciado autônoma) do Windows ou contas virtuais não podem ser compartilhadas em vários sistemas. Ao usar contas virtuais, a identidade também é local para a máquina e não é reconhecida pelo domínio. Se você configurasse uma conta para serviços em farms de servidores a serem compartilhados, teria que escolher uma conta de usuário ou uma conta de computador separada do sistema do Windows. De qualquer forma, essas contas não têm a capacidade de gerenciamento de senhas de ponto único de controle. Sem gerenciamento de senhas, cada organização precisa atualizar as chaves do serviço no Active Directory e distribuir essas chaves para todas as instâncias desses serviços.
Com o Windows Server, os serviços e os administradores de serviços não precisam gerenciar a sincronização de senha entre as instâncias de serviço ao usarem gMSA (contas de serviço gerenciado de grupo). Você cria a gMSA no AD e configura os serviços que oferecem suporte a contas de serviço gerenciado. O uso da gMSA tem como escopo qualquer computador que possa usar LDAP para recuperar as credenciais da gMSA. Você pode criar uma gMSA com os cmdlets New-ADServiceAccount que fazem parte do módulo do Active Directory. Os serviços a seguir oferecem suporte à configuração de identidade de serviço no host.
Algumas APIs, como sMSA, portanto, os produtos que oferecem suporte a sMSA darão suporte a gMSA
Serviços que usam o Gerenciador de Controle de Serviço para configurar a identidade de logon
Serviços que usam o gerenciador do IIS em pools de aplicativos para configurar identidade
Tarefas que usam o Agendador de Tarefas.
Pré-requisitos
A tabela a seguir lista os requisitos de sistema operacional para a autenticação Kerberos funcionar com serviços que usam gMSA. Os requisitos do Active Directory estão listados após a tabela.
Uma arquitetura de 64 bits é necessária para executar os comandos do Windows PowerShell usados para administrar as Contas de Serviço Gerenciado de grupo.
Sistema operacional
| Element | Requisito |
|---|---|
| Host de Aplicativo Cliente | Cliente Kerberos compatível com RFC |
| DCs de domínio da conta de usuário | KDC compatível com RFC |
| Hosts membros de serviço compartilhado | |
| DCs de domínio do host membro | KDC compatível com RFC |
| DCs de domínio da conta gMSA | DCs do Windows Server 2012 disponíveis para o host recuperar a senha |
| Host de serviço back-end | Servidor de aplicativos Kerberos compatível com RFC |
| DCs de domínio da conta de serviço back-end | KDC compatível com RFC |
| Windows PowerShell para Active Directory | As Ferramentas de Administração de Servidor Remoto do Active Directory Domain Services |
Active Directory Domain Services
As contas de serviço gerenciado de grupo têm os seguintes requisitos no Active Directory Domain Services (AD DS).
O nível funcional de floresta e de domínio do Active Directory devem ser o Windows Server 2012 ou posterior. Para saber mais sobre como atualizar o esquema, consulte Aumentando os níveis funcionais de floresta e de domínio do Active Directory.
Se você estiver gerenciando a permissão do host do serviço para usar a gMSA por grupo, então grupo de segurança novo ou existente.
Se estiver gerenciando o controle de acesso ao serviço por grupo, então grupo de segurança novo ou existente.
A chave raiz de KDS (Serviços de Distribuição de Chaves) do Active Directory deve ser criada no domínio. O resultado dessa criação pode ser verificado no log Operacional KdsSvc,
Event ID 4004. Para saber mais sobre como criar a chave raiz do KDS, consulte Criar a chave raiz do KDS (Serviços de distribuição de chave).
Para instruções sobre como criar a chave, confira Como criar a chave-raiz do KDS (Key Distribution Services). A chave raiz do Serviço de Distribuição de Chave da Microsoft (kdssvc.dll) do AD.
Implantando um novo farm de servidores
O processo de criação e gerenciamento de um farm de servidores que usa o recurso de gMSA geralmente envolve as tarefas a seguir.
Implantando um novo farm de servidores
Adicionando hosts membros a um farm de servidores existente
Encerrando hosts membros em um farm de servidores existente
Encerrando um farm de servidores existente
Removendo um host membro comprometido de um farm de servidores, se necessário
Quando o administrador do serviço implanta um novo farm de servidores, ele precisa determinar as informações a seguir.
O serviço oferece suporte ao uso de gMSAs
O serviço requer conexões autenticadas de entrada ou de saída
Os nomes de conta do computador dos hosts membros para o serviço que usa a gMSA
O nome NetBIOS para o serviço
O nome de host DNS para o serviço
Os SPNs (Nomes da Entidades de Serviço) para o serviço
O intervalo de alteração de senha (o padrão é 30 dias)
Criar contas de serviço gerenciado de grupo
Você só poderá criar uma gMSA se o esquema de floresta for Windows Server 2012 ou posterior. Você também deve implantar a chave raiz do KDS para o Active Directory e ter pelo menos um controlador de domínio do Windows Server 2012 ou posterior no domínio em que deseja criar uma gMSA.
Importante
Os nomes de conta gMSA devem ser exclusivos dentro de um nível de floresta e não apenas de um domínio. Tentar criar uma conta gMSA com um nome duplicado irá falhar, mesmo em domínios diferentes.
A associação em Administradores de Domínio ou a capacidade de criar objetos msDS-GroupManagedServiceAccount é o mínimo necessário para concluir os procedimentos a seguir.
Para criar uma gMSA com o PowerShell, siga as etapas a seguir.
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do Windows PowerShell, digite os comandos a seguir e pressione ENTER. (O módulo Active Directory carrega automaticamente.)
New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]Observação
Um valor para o parâmetro
-Nameé sempre obrigatório (independentemente de você especificar-Nameou não), sendo-DNSHostName,-RestrictToSingleComputere-RestrictToOutboundAuthenticationrequisitos secundários para os três cenários de implantação.Parâmetro String Exemplo Nome Nome da conta ITFarm1 DNSHostName Nome de host DNS do serviço ITFarm1.contoso.com KerberosEncryptionType Quaisquer tipos de criptografia com suporte pelos servidores host Nenhum, RC4, AES128, AES256 ManagedPasswordIntervalInDays Intervalo de alteração de senha em dias (o padrão é 30 dias, se nenhum tiver sido fornecido) 90 PrincipalsAllowedToRetrieveManagedPassword As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte ITFarmHosts SamAccountName Nome NetBIOS para o serviço, se não for igual a Nome ITFarm1 ServicePrincipalNames SPNs (Nomes da entidade de serviço) para o serviço http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01 Importante
O intervalo de alteração de senha só pode ser configurado durante a criação. Se for necessário alterar o intervalo, crie uma nova gMSA e configure-a no momento da criação.
Por exemplo, para criar uma nova gMSA chamada
ITFarm1para o grupo, use o comando a seguir. A gMSA permite que o serviço use os tipos de criptografia Kerberos RC4, AES128 e AES256. O serviço tem permissão para usar os SPNshttp/ITFarm1.contoso.com/contoso.com,http/ITFarm1.contoso.com/contoso,http/ITFarm1/contoso.comehttp/ITFarm1/contoso.Insira o comando em uma única linha, mesmo se houver quebra automática de linha em várias linhas devido a restrições de formatação.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
A associação em Administradores do domínio, Operadores de contas ou a capacidade de criar objetos de msDS-GroupManagedServiceAccount, é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos de segurança do Active Directory.
Para criar uma gMSA apenas para autenticação de saída usando o PowerShell, siga as etapas.
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do módulo Active Directory do Windows PowerShell, use o comando a seguir.
New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]O exemplo a seguir cria uma gMSA usando os parâmetros na tabela.
Parâmetro String Exemplo Nome Nome da conta ITFarm1 ManagedPasswordIntervalInDays Intervalo de alteração de senha em dias (o padrão é 30 dias, se nenhum tiver sido fornecido) 75 PrincipalsAllowedToRetrieveManagedPassword As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte ITFarmHosts Importante
O intervalo de alteração de senha só pode ser configurado durante a criação. Se for necessário alterar o intervalo, crie uma nova gMSA e configure-a no momento da criação.
O comando de exemplo usando esses parâmetros da maneira a seguir.
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
Configurar o serviço de aplicativo de identidade de serviço
Para configurar os serviços no Windows Server, consulte os seguintes artigos:
Pool de aplicativos do IIS
Para obter mais informações, consulte Especificar uma identidade para um pool de aplicativos (IIS 7).
Serviços Windows
Para obter mais informações, consulte Serviços.
Tarefas
Para obter mais informações, consulte Visão geral sobre o Agendador de Tarefas.
Outros serviços poderiam dar suporte a gMSA. Consulte a documentação de produto apropriada para obter detalhes sobre como configurar esses serviços.
Adicionar hosts membros a um farm de servidores existente
Se estiver usando grupos de segurança para gerenciar hosts membros, adicione a conta de computador do novo host membro ao grupo de segurança (dos quais os hosts membro da gMSA fazem parte) usando um dos métodos a seguir.
A associação em Admins. do Domínio ou a capacidade de adicionar membros ao objeto de grupo de segurança é o mínimo necessário para concluir esses procedimentos.
Método 1: Usuários e computadores do Active Directory
Para obter os procedimentos sobre como usar o método, consulte Adicionar uma conta de computador a um grupo usando a interface do Windows e Gerenciar diferentes domínios no Centro Administrativo do Active Directory.
Método 2: dsmod
Para obter os procedimentos sobre como usar o método, consulte Adicionar uma conta de computador a um grupo usando a linha de comando.
Método 3: cmdlet Active Directory Add-ADPrincipalGroupMembership do Windows PowerShell
Para obter os procedimentos sobre como usar o método, consulte Add-ADPrincipalGroupMembership.
Se estiver usando contas de computador, localize as contas existentes e adicione a nova conta de computador.
A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de gerenciar objetos de msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Adicionar hosts membros usando o PowerShell
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPasswordNo prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
O exemplo a seguir adiciona um membro a um farm de servidores usando os parâmetros na tabela.
| Parâmetro | String | Exemplo |
|---|---|---|
| Nome | Nome da conta | ITFarm1 |
| PrincipalsAllowedToRetrieveManagedPassword | As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte | Host1, Host2, Host3 |
O exemplo a seguir obtém os membros atuais do farm ITFarm1.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
O exemplo a seguir adiciona hosts de membro a um farm ITFarm1 de servidores existente.
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$
Atualizar as propriedades da conta de serviço gerenciado de grupo
A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de gravar em objetos msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esses procedimentos.
Abra o módulo Active Directory do Windows PowerShell e configure qualquer propriedade usando o cmdlet Set-ADServiceAccount.
Para obter informações detalhadas sobre como configurar essas propriedades, consulte Set-ADServiceAccount na Biblioteca do TechNet ou digite Get-Help Set-ADServiceAccount no prompt de comando do módulo Active Directory para Windows PowerShell e pressione ENTER.
Remover hosts membros de um farm de servidores existente
A associação em Admins. do Domínio ou a capacidade de remover membros do objeto de grupo de segurança é o mínimo necessário para concluir esses procedimentos.
Se estiver usando grupos de segurança para gerenciar hosts membros, remova a conta de computador do host membro encerrado no grupo de segurança do qual os hosts membro da gMSA fazem parte usando um dos métodos a seguir.
Método 1: Usuários e computadores do Active Directory
Para obter os procedimentos sobre como usar o método, consulte Excluir uma conta de computador usando a interface do Windows e Gerenciar diferentes domínios no Centro Administrativo do Active Directory.
Método 2:
drsmPara obter os procedimentos sobre como usar o método, consulte Excluir uma conta de computador usando a linha de comando.
Método 3: cmdlet Active Directory Remove-ADPrincipalGroupMembership do Windows PowerShell
Para obter informações detalhadas sobre como remover um membro da conta de serviço gerenciado do grupo, consulte Remove-ADPrincipalGroupMembership na Biblioteca do TechNet ou digite Get-Help Remove-ADPrincipalGroupMembership no prompt de comando do módulo Active Directory para Windows PowerShell e pressione ENTER.
Se estiver listando contas de computador, recupere as contas existentes e adicione todas, exceto a conta de computador removida.
A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de gerenciar objetos de msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Remover hosts membros usando o PowerShell
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPasswordNo prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
O exemplo a seguir remove um membro de um farm de servidores usando os parâmetros na tabela.
| Parâmetro | String | Exemplo |
|---|---|---|
| Nome | Nome da conta | ITFarm1 |
| PrincipalsAllowedToRetrieveManagedPassword | As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte | Host1, Host3 |
O exemplo a seguir obtém os membros atuais do farm ITFarm1.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
O exemplo a seguir remove hosts membros de um farm ITFarm1 de servidores existente.
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$
Remover uma conta de serviço gerenciado de grupo do sistema
Remover as credenciais da gMSA armazenadas em cache do host membro usando a API Uninstall-ADServiceAccount ou NetRemoveServiceAccount no sistema host.
A associação em Administradores ou equivalente é o mínimo necessário para concluir esses procedimentos.
Remover uma gMSA usando o PowerShell
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Uninstall-ADServiceAccount <ADServiceAccount>O exemplo a seguir desinstala uma conta de serviço gerenciado do Active Directory de um computador.
Uninstall-ADServiceAccount ITFarm1
Para obter mais informações sobre o cmdlet Uninstall-ADServiceAccount, no prompt de comando do módulo Active Directory para Windows PowerShell, digite Get-Help Uninstall-ADServiceAccounte pressione ENTER ou consulte as informações na Web no TechNet em Uninstall-ADServiceAccount.
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de