Configurar um domínio para o cenário de Contas de Serviço Gerenciado de Grupo (gMSA)

Windows Server »

Importante

Este artigo aplica-se apenas ao MIM 2016 SP2.

O Microsoft Identity Manger (MIM) funciona com o seu domínio do Ative Directory (AD). Você já deve ter o AD instalado e certifique-se de ter um controlador de domínio em seu ambiente para um domínio que você possa administrar. Este artigo descreve como configurar contas de serviço gerenciado de grupo nesse domínio para uso pelo MIM.

Visão geral

As Contas de Serviço Gerenciado de Grupo eliminam a necessidade de alterar periodicamente as senhas das contas de serviço. Com o lançamento do MIM 2016 SP2, os seguintes componentes do MIM podem ter contas gMSA configuradas para serem usadas durante o processo de instalação:

• Serviço de sincronização do MIM (FIMSynchronizationService)
• Serviço MIM (FIMService)
• Pool de aplicativos do site de Registro de Senha do MIM
• Pool de Aplicações Web do MIM Password Reset
• Pool de aplicações do website da API REST PAM
• Serviço de Monitoramento PAM (PamMonitoringService)
• Serviço de componente PAM (PrivilegeManagementComponentService)

Os seguintes componentes do MIM não suportam a execução como contas gMSA:

• Portal MIM. Isso ocorre porque o Portal MIM faz parte do ambiente do SharePoint. Em vez disso, você pode implantar o SharePoint no modo de farm e Configurar alteração automática de senha no SharePoint Server.
• Todos os Agentes de Gestão
• Gerenciamento de Certificados Microsoft
• BHOLD

Mais informações sobre o gMSA podem ser encontradas nestes artigos:

• Visão geral das contas de serviço geridas por grupo

• Novo-ContaDeServiçoAD

• Criar a chave raiz do KDS dos Serviços de Distribuição de Chaves

Criar contas de usuário e grupos

Todos os componentes da implantação do MIM precisam de suas próprias identidades no domínio. Isso inclui os componentes do MIM, como Service e Sync, bem como SharePoint e SQL.

Observação

Este passo a passo usa nomes e valores de exemplo de uma empresa chamada Contoso. Substitua-os pelos seus. Por exemplo:

• Nome do controlador de domínio - dc
• Nome de domínio - contoso
• Nome do servidor de serviço MIM - mimservice
• Nome do Servidor de Sincronização do MIM - mimsync
• Nome do SQL Server - SQL
• Palavra-passe - Pass@word1

1. Entre no controlador de domínio como administrador de domínio (exemplo, Contoso\Administrator).

2. Crie as seguintes contas de usuário para serviços MIM. Inicie o PowerShell e digite o seguinte script do PowerShell para criar novos usuários de domínio do AD (nem todas as contas são obrigatórias, embora o script seja fornecido apenas para fins informativos, é uma prática recomendada usar uma conta de MIMAdmin dedicada para o processo de instalação do MIM e do SharePoint).

   import-module activedirectory
   $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   New-ADUser –SamAccountName MIMAdmin –name MIMAdmin
   Set-ADAccountPassword –identity MIMAdmin –NewPassword $sp
   Set-ADUser –identity MIMAdmin –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcSharePoint –name svcSharePoint
   Set-ADAccountPassword –identity svcSharePoint –NewPassword $sp
   Set-ADUser –identity svcSharePoint –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcMIMSql –name svcMIMSql
   Set-ADAccountPassword –identity svcMIMSql –NewPassword $sp
   Set-ADUser –identity svcMIMSql –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcMIMAppPool –name svcMIMAppPool
   Set-ADAccountPassword –identity svcMIMAppPool –NewPassword $sp
   Set-ADUser –identity svcMIMAppPool –Enabled 1 -PasswordNeverExpires 1
   

3. Crie grupos de segurança para todos os grupos.

   New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
   New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators
   New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
   New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
   New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet
   Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
   Add-ADGroupMember -identity MIMSyncAdmins -Members MIMAdmin
   

4. Adicionar SPNs para habilitar a autenticação Kerberos para contas de serviço

   setspn -S http/mim.contoso.com contoso\svcMIMAppPool
   

5. Certifique-se de registrar os seguintes registros DNS 'A' para resolução de nome adequada (supondo que os sites de Serviço MIM, Portal MIM, Redefinição de Senha e Registro de Senha serão hospedados na mesma máquina)

   • mim.contoso.com - aponte para o Serviço MIM e para o endereço IP físico do servidor do Portal
   • passwordreset.contoso.com - aponte para o endereço IP físico do servidor do Serviço MIM e do Portal
   • passwordregistration.contoso.com - aponte para o endereço IP físico do servidor do Serviço MIM e do Portal

Criar chave raiz do serviço de distribuição de chaves

Certifique-se de que iniciou sessão no controlador de domínio como administrador para preparar o serviço de distribuição de chaves de grupo.

Se já houver uma chave raiz para o domínio (use Get-KdsRootKey para verificar), continue para a próxima seção.

6. Crie a chave raiz dos Serviços de Distribuição de Chaves (KDS) (apenas uma vez por domínio), se necessário. A Chave Raiz é usada pelo serviço KDS em controladores de domínio (juntamente com outras informações) para gerar senhas. Como administrador de domínio, digite o seguinte comando do PowerShell:

   Add-KDSRootKey –EffectiveImmediately
   

   –EffectiveImmediately pode exigir um atraso de até ~10 horas, pois precisará ser replicado para todos os controladores de domínio. Esse atraso foi de aproximadamente 1 hora para dois controladores de domínio.

   

   Observação

   No ambiente de laboratório ou teste, você pode evitar um atraso de replicação de 10 horas executando o seguinte comando:
   Add-KDSRootKey -EffectiveTime (Get-Date). AddHours(-10))

Criar conta, grupo e entidade de serviço do Serviço de Sincronização do MIM

---

Certifique-se de que todas as contas de computador dos computadores onde o software MIM será instalado já estão associadas ao domínio. Em seguida, execute estas etapas no PowerShell como administrador de domínio.

7. Crie um grupo MIMSync_Servers e adicione todos os servidores de Sincronização do MIM a este grupo. Digite o seguinte para criar um novo grupo do AD para Servidores de Sincronização do MIM. Em seguida, adicione contas de computador do Active Directory do servidor de Sincronização MIM, por exemplo, contoso\MIMSync$, a esse grupo.

   New-ADGroup –name MIMSync_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMSync_Servers
   Add-ADGroupmember -identity MIMSync_Servers -Members MIMSync$
   

8. Crie o Serviço de Sincronização do MIM gMSA. Digite o seguinte PowerShell.

   New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"
   

   Verifique os detalhes do GSMA criado executando comando Get-ADServiceAccount PowerShell:

   

9. Se você planeja executar o Serviço de Notificação de Alteração de Senha, precisará registrar o Nome da Entidade de Serviço executando este comando do PowerShell:

   Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}
   

10. Reinicialize o servidor de Sincronização do MIM para atualizar um token Kerberos associado ao servidor, pois a associação ao grupo "MIMSync_Server" foi alterada.

Criar conta de serviço do Agente de Gerenciamento de Serviços do MIM

11. Normalmente, ao instalar o Serviço MIM, você criará uma nova conta para o Agente de Gerenciamento de Serviços do MIM (conta MA do MIM). Com o gMSA, há duas opções disponíveis:

• Usar a conta de serviço gerenciada do grupo do Serviço de Sincronização do MIM e não criar uma conta separada

  Você pode ignorar a criação da conta de serviço do MIM Service Management Agent. Nesse caso, use o nome gMSA do Serviço de Sincronização do MIM, por exemplo, contoso\MIMSyncGMSAsvc$, em vez da conta MA do MIM ao instalar o Serviço MIM. Mais tarde, na configuração do MIM Service Management Agent, ative a opção 'Usar conta MIMSync'.

  Não ative 'Negar logon pela rede' para o gMSA do Serviço de Sincronização do MIM, pois a conta MA do MIM requer a permissão 'Permitir logon pela rede'.

• Usar uma conta de serviço regular para a conta de serviço do MIM Service Management Agent

  Inicie o PowerShell como administrador de domínio e digite o seguinte para criar um novo usuário de domínio do AD:

  $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
  
  New-ADUser –SamAccountName svcMIMMA –name svcMIMMA
  Set-ADAccountPassword –identity svcMIMMA –NewPassword $sp
  Set-ADUser –identity svcMIMMA –Enabled 1 –PasswordNeverExpires 1
  

  Não habilite 'Negar iniciar sessão na rede' para a conta MA do MIM, pois requer a permissão 'Permitir iniciar sessão na rede'.

Criar contas, grupos e entidade de serviço do MIM

Continue usando o PowerShell como administrador de domínio.

12. Crie um grupo MIMService_Servers e adicione todos os servidores do Serviço MIM a esse grupo. Digite o PowerShell a seguir para criar um novo grupo do AD para servidores do Serviço MIM e adicionar a conta de computador do Ative Directory do servidor do Serviço MIM, por exemplo, contoso\MIMPortal$, a esse grupo.

    New-ADGroup –name MIMService_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMService_Servers
    Add-ADGroupMember -identity MIMService_Servers -Members MIMPortal$
    

13. Crie o Serviço MIM gMSA.

    New-ADServiceAccount -Name MIMSrvGMSAsvc -DNSHostName MIMSrvGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMService_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='FIMService/mimportal.contoso.com'} 
    

14. Registe o Nome da Entidade de Serviço e ative a delegação Kerberos executando este comando do PowerShell:

    Set-ADServiceAccount -Identity MIMSrvGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="FIMService/mimportal.contoso.com"}
    

15. Para cenários de SSPR, é necessário que a Conta de Serviço MIM consiga comunicar-se com o Serviço de Sincronização do MIM, portanto, a Conta de Serviço MIM deve ser membro dos grupos MIMSyncAdministrators ou MIMSyncPasswordResetAndBrowse.

    Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMSrvGMSAsvc$ 
    Add-ADGroupmember -identity MIMSyncBrowse -Members MIMSrvGMSAsvc$ 
    

16. Reinicialize o servidor do Serviço MIM para atualizar um token Kerberos associado ao servidor, pois a associação ao grupo "MIMService_Servers" foi alterada.

Crie outras contas e grupos do MIM, se necessário

Se você estiver configurando o SSPR do MIM, seguindo as mesmas diretrizes descritas acima para o Serviço de Sincronização do MIM e o Serviço do MIM, poderá criar outro gMSA para:

• Pool de aplicações do site do MIM Password Reset
• Pool de aplicativos do site de Registro de Senha do MIM

Se você estiver configurando o MIM PAM, seguindo as mesmas diretrizes descritas acima para o Serviço de Sincronização do MIM e o Serviço do MIM, poderá criar outro gMSA para:

• Pool de aplicações do site MIM PAM REST API
• Serviço de componente MIM PAM
• Serviço de monitoramento MIM PAM

Especificando um gMSA ao instalar o MIM

Como regra geral, na maioria dos casos ao usar um instalador do MIM, para especificar que você deseja usar um gMSA em vez de uma conta regular, acrescente um caractere de cifrão ao nome do gMSA, por exemplo, contoso\MIMSyncGMSAsvc$e deixe o campo de senha vazio. Uma exceção é a ferramenta miisactivate.exe que aceita o nome gMSA sem o cifrão.

Windows Server »