Group Managed Service Accounts Overview
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este tópico para o profissional de TI apresenta a Conta de Serviço Gerenciado de grupo (gMSA), descrevendo aplicações práticas, alterações nos requisitos de hardware, software e implantação da Microsoft.
Descrição do recurso
Uma conta de serviço gerenciado autônoma (sMSA) é uma conta de domínio gerenciada que oferece gerenciamento automático de senhas, gerenciamento simplificado de nomes principais de serviço (SPN) e a capacidade de delegar o gerenciamento a outros administradores. Administradores de domínio podem delegar o gerenciamento de serviços a administradores de serviço, que por sua vez podem gerenciar todo o ciclo de vida de uma Conta de Serviços Gerenciados ou da Conta de Serviços Gerenciados de grupo. Os computadores clientes existentes podem se autenticar em qualquer serviço desse tipo sem saber em qual instância de serviço estão se autenticando. Esse tipo de MSA (conta de serviço gerenciado) foi introduzido no Windows Server 2008 R2 e no Windows 7.
A gMSA (Conta de Serviço Gerenciado de grupo) fornece a mesma funcionalidade dentro do domínio, mas também estende essa funcionalidade por vários servidores. Isso minimiza a sobrecarga administrativa de uma conta de serviço, permitindo que o Windows controle o gerenciamento de senha dessas contas. Ao se conectarem a um serviço hospedado em um farm de servidores, como uma solução com Balanceamento de Carga de Rede, os protocolos de autenticação que oferecem suporte para autenticação mútua exigem que todas as instâncias dos serviços usem a mesma entidade de serviço. Quando uma gMSA é usada como uma entidade de serviço, o sistema operacional Windows gerencia a senha da conta em vez de depender do administrador para esse gerenciamento.
O Serviço de Distribuição de Chaves da Microsoft (kdssvc.dll) fornece o mecanismo para obter de forma segura a chave mais recente ou uma chave específica com um identificador de chave para uma conta do Active Directory. O Serviço de Distribuição de Chaves compartilha um segredo que é usado para criar chaves para a conta. Essas chaves são alteradas periodicamente. Para uma gMSA, o controlador de domínio calcula a senha na chave fornecida pelos Serviços de Distribuição de Chaves, além de outros atributos da gMSA. Hosts membros podem obter os valores de senha atuais e precedentes entrando em contato com um controlador de domínio.
Aplicações práticas
As gMSAs fornecem uma solução de identidade única para serviços executados em um farm de servidores ou em sistemas por trás do Balanceador de Carga de Rede. Ao fornecer uma solução gMSA, você pode configurar serviços para a nova entidade de serviço da gMSA enquanto o Windows lida com o gerenciamento de senhas.
Usando uma gMSA, os serviços ou administradores de serviços não precisam gerenciar a sincronização de senha entre instâncias de serviço. A gMSA fornece suporte para hosts que são mantidos offline por um período de tempo extenso e gerencia hosts membros para todas as instâncias de um serviço. Você pode implantar um farm de servidores que dá suporte a uma única identidade que computadores cliente existentes podem usar para autenticação sem precisar saber a qual instância de serviço eles estão se conectando.
Embora os clusters de failover não forneçam suporte para gMSAs, os serviços que operam no serviço de cluster podem utilizar uma gMSA ou sMSA se forem um serviço do Windows, um pool de aplicativos, uma tarefa agendada ou dar suporte nativo a gMSA ou sMSA.
Requisitos de software
Para executar os comandos do Windows PowerShell necessários para administrar gMSAs, você deve ter uma arquitetura de 64 bits.
Uma conta de serviço gerenciada depende dos tipos de criptografia compatíveis com o Kerberos. Quando um computador cliente é autenticado em um servidor usando Kerberos, o DC cria um tíquete de serviço Kerberos protegido com criptografia ao qual o DC e o servidor dão suporte. O DC usa o atributo msDS-SupportedEncryptionTypes da conta para determinar a qual criptografia o servidor dá suporte. Se não houver um atributo, o DC tratará o computador cliente como se ele não oferecesse suporte a tipos de criptografia mais fortes. Se você configurou o host para não dar suporte ao RC4, a autenticação sempre falhará. Por esse motivo, você sempre deve configurar o AES para MSAs.
Observação
A partir do Windows Server 2008 R2, o DES fica desabilitado por padrão. Para obter mais informações sobre os tipos de criptografia com suporte, consulte Alterações da autenticação do Kerberos.
Observação
As gMSAs não são aplicáveis aos sistemas operacionais Windows anteriores ao Windows Server 2012. No Windows Server 2012, os cmdlets do Windows PowerShell têm como padrão o gerenciamento das gMSAs em vez das Contas de serviço gerenciado do servidor.
Informações sobre o Gerenciador do Servidor
Você não precisa fazer nenhuma configuração extra para implementar MSAs e gMSAs usando o Gerenciador do Servidor ou o cmdlet Install-WindowsFeature.
Próximas etapas
Aqui estão alguns outros recursos que você pode ler para saber mais sobre as contas de serviço gerenciado:
- Documentação de Contas de Serviço Gerenciado para Windows 7 e Windows Server 2008 R2
- Guia Passo a Passo das Contas de Serviço
- Contas de Serviço Gerenciado no Active Directory
- Introdução a contas de serviços gerenciados em grupo
- Contas de Serviço Gerenciado no Active Directory Domain Services
- Contas de Serviços Gerenciados: compreendendo, implementando, práticas recomendadas e solução de problemas
- Visão geral do Active Directory Domain Services