Executando avaliações com contas de serviço gerenciado
As MSAs (Contas de Serviço Gerenciado) são um tipo de entidade de segurança disponível nas versões atualmente com suporte do Active Directory Domain Services. Elas compartilham as características das entidades de segurança de computador e de usuário. Elas podem ser adicionadas a grupos de segurança, além de autenticar e acessar recursos em uma rede. Elas se destinam a uso por serviços, pools de aplicativos do IIS e tarefas agendadas.
Benefícios de contas de serviço gerenciado
Contas de serviço gerenciado resolvem desafios específicos inerentes ao uso de contas de usuário para a execução de serviços, tarefas agendadas e pools de aplicativos do IIS:
- Gerenciamento automático de senhas
- Gerenciamento simplificado de nomes de entidades de serviço (SPN)
- Não pode ser usado para fazer login interativamente no Windows
- Controle facilmente quais computadores são autorizados autenticar MSAs e executar código em seus contextos
Avaliações sob Demanda que podem usar Contas de Serviço Gerenciado
Contas de Serviço Gerenciado têm suporte para executar as seguintes Avaliações sob Demanda
- Active Directory
- Segurança do Active Directory
- System Center Configuration Manager
- SharePoint
- SQL Server
- Cliente Windows
- Windows Server
Observação
As Contas de Serviço Gerenciado não têm suporte oficialmente pelo serviço de atendimento ao consumidor da Microsoft para algumas configurações ambientais. Embora funcionem na maioria dos cenários, poderá ser necessário usar uma conta de domínio quando as configurações ambientais impedirem o uso da Conta de Serviço Gerenciado.
Provisionar contas de serviço gerenciado
Um pré-requisito para configurar uma tarefa agendada de avaliação para execução como uma MSA é provisionar ou criar a MSA no Active Directory Domain Services. Cada uma das avaliações com suporte especifica os requisitos de autorização e acesso da conta de tarefa agendada para uma execução com êxito. Consulte a avaliação suportada documentos de introdução e documentos de pré-requisito para detalhes das exigências de acesso da conta das tarefas agendadas.
Existem dois tipos de contas de serviço gerenciado. Qualquer um pode ser configurado para a tarefa agendada de avaliação nas avaliações com suporte:
- As Contas de Serviço de Gerenciamento Autónomo (também conhecidas como Contas Virtuais) só podem receber autorização para ser autenticadas num único computador ingressado no domínio.
- As Contas de Serviço de Gestão em Grupo podem receber autorização para ser autenticadas em vários computadores associados.
O módulo Active Directory do Windows PowerShell é necessário para provisionar e configurar os dois tipos de MSAs. Em geral, os controladores de domínio têm esse módulo do PowerShell instalado durante a instalação da função do controlador de domínio.
O módulo, um componente das Ferramentas de Administração Remota do Servidor, podem ser adicionadas às SKUs do Windows Server através do Gerenciador de Servidor. O módulo também pode ser adicionado ao Windows 10.
Cenário 1 - Conta de serviço gerenciado independente (sMSA)
O esquema de floresta do Active Directory Domain Services deve estar no mínimo no Windows Server 2008 R2 para provisionar contas de serviço gerenciado independentes com êxito. Computadores que executam tarefas agendadas como sMSA devem estar executando o Windows Server 2012 ou versão mais recente.
Há três etapas para provisionar uma sMSA para executar Avaliações sob Demanda:
- Crie a sMSA usando o cmdlet do PowerShell New-ADServiceAccount.
- Autorize a máquina de coleta de dados a obter a senha da sMSA usando o cmdlet Add-ADComputerServiceAccount PowerShell.
- Conceda ao sMSA o acesso necessário ao ambiente sendo avaliado por documentação de pré-requisito para que a avaliação relevante seja configurada.
Criar conta de serviço gerenciado independente
Para criar a sMSA, execute o seguinte comando em uma sessão do PowerShell de um controlador de domínio ou membro de domínio com o módulo Active Directory do Windows PowerShell instalado usando uma conta com permissões necessárias para criar contas no Active Directory (Operadores de Conta ou Administradores de Domínio têm as permissões necessárias por padrão).
New-ADServiceAccount -Name <sMSAaccountname> -RestrictToSingleComputer
Por exemplo: PS C:> New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer
Autorizar a máquina de coleta de dados a usar a sMSA
Para autorizar a máquina de coleta de dados a obter a senha para a sMSA, execute o seguinte comando em uma sessão do PowerShell de um controlador de domínio ou membro de domínio com o módulo Active Directory do Windows PowerShell instalado usando uma conta com permissões necessárias para criar contas no Active Directory (Operadores de Conta ou Administradores de Domínio têm as permissões necessárias por padrão).
Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”
Por exemplo: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"
Instalar o sMSA no computador de coleta de dados
O pré-cache do sMSA no computador de coleta de dados atende a uma importante etapa de validação para garantir que a conta seja provisionada corretamente e o computador de coleta de dados possa recuperar com sucesso a senha do sMSA e usar a conta. No computador de coleta de dados com o módulo PowerShell do Active Directory instalado, execute o seguinte.
Install-ADServiceAccount -Identity “sMSA samaccountname”
Por exemplo: Install-ADServiceAccount -Identity "sMSA-SVC$"
Observação
Se um erro de cmdlet não encontrado for devolvido, instale o módulo Active Directory Powershell explicado anteriormente em Contas de Serviço de Gerenciamento de Provisão.
Para outros erros, consulte o canal de registo de eventos Microsoft-Windows-Security-Netlogon/Operacional para eventos da categoria MSA.
Cenário 2 - Conta de serviço gerenciado de grupo (gMSA)
O esquema de floresta do Active Directory Domain Services deve estar no mínimo no Windows Server 2012 para provisionar contas de serviço gerenciado de grupo com êxito. Computadores que executam tarefas agendadas como uma gMSA devem estar executando o Windows Server 2012 ou versão mais recente.
Existem 3 etapas para provisionar uma gMSA para executar Avaliações sob Demanda:
- Criar a Chave da Raiz KDS de Serviços de Distribuição de Chave no Active Directory usando Add-KDSRootKey
- Crie a gMSA e autorize a máquina de coleta de dados a obter a senha da gMSA usando o cmdlet New-ADServiceAccount PowerShell.
- Conceda ao gMSA o acesso necessário ao ambiente que está a ser avaliado por documentação pré-requisito para que a avaliação relevante seja configurada.
Provisionar Chave Raiz KDS
A chave raiz KDS deverá ser criada primeiro se nunca tiver sido criada na floresta do Active Directory. Para determinar se existe uma chave raiz KDS existente, execute o seguinte comando em uma sessão do PowerShell.
Get-KdsRootKey
Observação
Se nada for retornado desse comando, significa que não há chave raiz na floresta do Active Directory.
Para criar a chave raiz KDS, execute o seguinte comando em uma sessão do PowerShell de um controlador de domínio ou membro de domínio com o módulo Active Directory do Windows PowerShell instalado usando uma conta com permissões necessárias para criar contas no Active Directory (Administradores Corporativos e Administradores de Domínio no domínio raiz da floresta têm as permissões necessárias por padrão).
Add-KdsRootKey -EffectiveImmediately
Add-KdsRootKey -EffectiveImmediately permite a criação de gMSAs após 10hrs para garantir que a replicação tenha convergido para todos os DCs.
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) permite a criação de gMSAs imediatamente.
Esta abordagem incorre em alguns riscos de criação ou de uso falhada de gMSA, se a convergência de replicação de anúncios de toda a floresta demorar várias horas sob operações normais.
Criar conta de serviço gerenciado de grupo
Para criar a gMSA, execute o seguinte comando em uma sessão do PowerShell de um controlador de domínio ou membro de domínio com o módulo Active Directory do Windows PowerShell instalado usando uma conta com permissões necessárias para criar contas no Active Directory (Operadores de Conta ou Administradores de Domínio têm as permissões necessárias por padrão).
New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”
Por exemplo: PS C:> New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"
Instale gMSA na Máquina de Coteta de Dados
A pré-colocação em cache de gMSA na máquina de recolha de dados serve uma importante etapa de validação para garantir que a conta seja aprovisionada corretamente e que a máquina de recolha de dados possa obter com sucesso a palavra-passe gMSA e utilizar conta. No computador de coleta de dados com o módulo PowerShell do Active Directory instalado, execute o seguinte.
Install-ADServiceAccount -Identity “gMSA samaccountname”
Por exemplo: Install-ADServiceAccount -Identity "gMSA-SVC$"
Observação
Se um erro de cmdlet não encontrado for devolvido, instale o módulo Active Directory Powershell explicado anteriormente em Contas de Serviço de Gerenciamento de Provisão.
Para outros erros, consulte o canal de registo de eventos Microsoft-Windows-Security-Netlogon/Operacional para eventos da categoria MSA.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários