Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo para profissionais de TI apresenta o grupo Conta de Serviço Gerenciado (gMSA) descrevendo aplicativos práticos, alterações na implementação da Microsoft e requisitos de hardware e software.
Descrição do recurso
Uma Conta de Serviço Gerenciado (sMSA) autônoma é uma conta de domínio gerenciado que fornece gerenciamento automático de senhas, gerenciamento simplificado de SPN (nome principal de serviço) e a capacidade de delegar o gerenciamento a outros administradores. Os administradores de domínio podem delegar o gerenciamento de serviços a administradores de serviço, que podem gerenciar todo o ciclo de vida de uma Conta de Serviço Gerenciado ou da Conta de Serviço Gerenciado do grupo. Os computadores clientes existentes podem autenticar-se em qualquer serviço sem saber em qual instância de serviço estão se autenticando. Esse tipo de conta de serviço gerenciado (MSA) foi introduzido no Windows Server 2008 R2 e no Windows 7.
A Conta de Serviço Gerenciado de grupo (gMSA) fornece a mesma funcionalidade dentro do domínio e também estende essa funcionalidade por vários servidores. Isso minimiza a sobrecarga administrativa de uma conta de serviço, permitindo que o Windows manipule o gerenciamento de senhas para essas contas. Quando se liga a um serviço hospedado numa fazenda de servidores, como uma solução com Balanceamento de Carga de Rede, os protocolos de autenticação que suportam a autenticação mútua exigem que todas as instâncias dos serviços utilizem a mesma identidade principal. Quando se usa um gMSA como um principal de serviço, o sistema operativo Windows gere a senha da conta, em vez de depender do administrador para essa tarefa.
O Serviço de Distribuição de Chaves da Microsoft (kdssvc.dll) permite obter com segurança a chave mais recente ou uma chave específica com um identificador de chave para uma conta do Ative Directory. O Serviço de Distribuição de Chaves partilha um segredo que é utilizado para criar chaves para a conta. Essas chaves mudam periodicamente. Para um gMSA, o controlador de domínio calcula a senha na chave fornecida pelos Serviços de Distribuição de Chaves, juntamente com outros atributos do gMSA. Os hosts membros podem obter os valores de senha atuais e anteriores entrando em contato com um controlador de domínio.
Aplicações práticas
Os gMSAs fornecem uma solução de identidade única para serviços executados num conjunto de servidores ou em sistemas por trás de um balanceador de carga de rede. Ao fornecer uma solução gMSA, pode-se configurar serviços para o novo principal gMSA enquanto o Windows lida com o gerenciamento de senhas.
Quando os serviços ou administradores de serviço usam um gMSA, eles não precisam gerenciar a sincronização de senha entre instâncias de serviço. O gMSA suporta hosts mantidos offline por um longo período de tempo e administra hosts membros em todas as instâncias de um serviço. Você pode implantar um farm de servidores que ofereça suporte a uma única identidade que os computadores clientes existentes possam autenticar sem precisar saber a qual instância de serviço eles estão se conectando.
Embora os clusters de failover não forneçam suporte para gMSAs, os serviços que operam no serviço de Cluster podem utilizar um gMSA ou sMSA se forem serviços do Windows, pools de aplicações, tarefas agendadas ou suportarem nativamente gMSA ou sMSA.
Requisitos de software
Para executar os comandos do Windows PowerShell necessários para administrar gMSAs, você deve ter uma arquitetura de 64 bits.
Uma conta de serviço gerenciada depende dos tipos de criptografia suportados pelo Kerberos. Quando um computador cliente se autentica em um servidor usando Kerberos, o DC cria um tíquete de serviço Kerberos protegido com criptografia que o DC e o servidor suportam. O DC usa o atributo msDS-SupportedEncryptionTypes da conta para determinar qual criptografia o servidor suporta. Se não houver um atributo, o DC trata o computador cliente como se ele não suportasse tipos de criptografia mais fortes. Se você configurou o host para não suportar RC4, a autenticação sempre falhará. Por esse motivo, você deve sempre configurar o AES para MSAs.
Observação
A partir do Windows Server 2008 R2, o DES está desabilitado por padrão. Para obter mais informações sobre os tipos de criptografia suportados, consulte Alterações na autenticação Kerberos.
Observação
gMSAs não são aplicáveis a sistemas operacionais Windows anteriores ao Windows Server 2012. Para o Windows Server 2012, os cmdlets do Windows PowerShell, por padrão, gerenciam as gMSAs em vez das Contas de Serviço Gerenciado do Servidor.
Informações do Gerenciador do Servidor
Não é necessário fazer nenhuma configuração extra para implementar o MSA e o gMSA usando o Gerenciador do Servidor ou o cmdlet Install-WindowsFeature.
Próximos passos
Aqui estão alguns outros recursos que você pode ler para saber mais sobre Contas de Serviço Gerenciado:
- Documentação de Contas de Serviço Gerenciado para Windows 7 e Windows Server 2008 R2
- Guia passo a passo de contas de serviço
- Gerenciar contas de serviço gerenciado de grupo
- Contas de Serviço Gerenciado nos Serviços de Domínio Ative Directory
- Contas de serviço gerenciado: compreensão, implementação, práticas recomendadas e solução de problemas
- Visão geral dos Serviços de Domínio Ative Directory