Getting Started with Group Managed Service Accounts
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este guia fornece instruções passo a passo e informações de contexto para habilitar e usar as Contas de Serviço Gerenciado de grupo no Windows Server 2012.
Neste documento
Observação
Este tópico inclui cmdlets do Windows PowerShell de exemplo que podem ser usados para automatizar alguns dos procedimentos descritos. Para obter mais informações, confira Usando os Cmdlets.
Pré-requisitos
Consulte a seção neste tópico em Requisitos para as Contas de Serviço Gerenciado de grupo.
Introdução
Quando um computador cliente se conecta a um serviço hospedado em um farm de servidores que usa NLB (balanceamento de carga de rede) ou algum outro método em que, para o cliente, todos os servidores parecem ser o mesmo serviço; os protocolos de autenticação que dão suporte à autenticação mútua, tal como o Kerberos, não podem ser usados, a menos que todas as instâncias dos serviços usem a mesma entidade. Isso significa que cada serviço tem que usar as mesmas senhas/chaves para provar sua identidade.
Observação
Os clusters de failover não dão suporte a gMSAs. No entanto, os serviços que são executados sobre o Serviço de cluster poderão usar uma gMSA ou uma sMSA, se forem um serviço Windows, um pool de aplicativos, uma tarefa agendada ou oferecerem suporte nativo a gMSA ou sMSA.
Os serviços têm as entidades a seguir entre as quais escolher, e cada uma delas apresenta determinadas limitações.
| Principals | Serviços compatíveis | Gerenciamento de senhas |
|---|---|---|
| Conta de Computador do sistema do Windows | Limitado a um servidor ingressado no domínio | O computador gerencia |
| Conta de Computador sem o sistema do Windows | Qualquer servidor ingressado no domínio | Nenhum |
| Conta Virtual | Limitado a um servidor | O computador gerencia |
| Conta de Serviço Gerenciado independente do Windows 7 | Limitado a um servidor ingressado no domínio | O computador gerencia |
| Conta de Usuário | Qualquer servidor ingressado no domínio | Nenhum |
| Conta de Serviço Gerenciado de Grupo | Qualquer Windows Server 2012 servidor conectado ao domínio | O controlador de domínio gerencia e o host recupera |
Uma conta de computador do Windows, uma sMSA (Conta de Serviço Gerenciado independente) do Windows 7 ou contas virtuais não podem ser compartilhadas em diversos sistemas. No caso de contas virtuais, a identidade também é local para o computador e não é reconhecida pelo domínio. Se você configurasse uma conta para serviços em farms de servidores a serem compartilhados, teria que escolher uma conta de usuário ou uma conta de computador separada do sistema do Windows. De qualquer maneira, essas contas não têm a funcionalidade de gerenciamento de senhas de ponto único de controle. Isso cria um problema em que cada organização precisa criar uma solução dispendiosa para atualizar chaves do serviço no Active Directory e distribuir as chaves a todas as instâncias desses serviços.
Com o Windows Server 2012, os serviços ou administradores de serviços não precisam gerenciar a sincronização de senha entre as instâncias de serviço ao usarem as gMSA (Contas de Serviço Gerenciado de grupo). Você provisiona a gMSA no AD e configura os serviços que dão suporte a Contas de Serviço Gerenciado. O uso da gMSA tem como escopo qualquer computador que possa usar LDAP para recuperar as credenciais da gMSA. Você pode provisionar uma gMSA usando os cmdlets *-ADServiceAccount que fazem parte do módulo do Active Directory. A configuração de identidade do serviço no host tem suporte por:
Algumas APIs, como sMSA, portanto, produtos que dão suporte a sMSA oferecerão suporte a gMSA
Serviços que usam o Gerenciador de Controle de Serviço para configurar a identidade de logon
Serviços que usam o gerenciador do IIS em pools de aplicativos para configurar identidade
Tarefas que usam o Agendador de Tarefas.
Requisitos para as Contas de Serviço Gerenciado de grupo
A tabela a seguir lista os requisitos de sistema operacional para a autenticação Kerberos funcionar com serviços que usam gMSA. Os requisitos do Active Directory estão listados após a tabela.
Uma arquitetura de 64 bits é necessária para executar os comandos do Windows PowerShell usados para administrar as Contas de Serviço Gerenciado de grupo.
Requisitos do sistema operacional
| Elemento | Requisito | Sistema operacional |
|---|---|---|
| Host de Aplicativo Cliente | Cliente Kerberos compatível com RFC | Pelo menos Windows XP |
| DCs de domínio da conta de usuário | KDC compatível com RFC | Pelo menos Windows Server 2003 |
| Hosts membros de serviço compartilhado | Windows Server 2012 | |
| DCs de domínio do host membro | KDC compatível com RFC | Pelo menos Windows Server 2003 |
| DCs de domínio da conta gMSA | DCs do Windows Server 2012 disponíveis para o host recuperar a senha | Domínio com Windows Server 2012 que pode ter alguns sistemas anteriores a Windows Server 2012 |
| Host de serviço back-end | Servidor de aplicativos Kerberos compatível com RFC | Pelo menos Windows Server 2003 |
| DCs de domínio da conta de serviço back-end | KDC compatível com RFC | Pelo menos Windows Server 2003 |
| Windows PowerShell para Active Directory | Windows PowerShell para Active Directory instalado localmente em um computador que dê suporte a uma arquitetura de 64 bits ou em seu computador de gerenciamento remoto (por exemplo, usando o Remote Server Administration Toolkit) | Windows Server 2012 |
Requisitos do Serviço de Domínio Active Directory
O esquema do Active Directory na floresta de domínio da gMSA precisa ser atualizado para o Windows Server 2012 para criar uma gMSA.
É possível atualizar o esquema instalando um controlador de domínio que execute o Windows Server 2012 ou executando a versão de adprep.exe de um computador que execute Windows Server 2012. O valor de atributo de versão do objeto para o objeto CN=Schema,CN=Configuration,DC=Contoso,DC=Com deve ser 52.
Nova conta gMSA provisionada
Se você estiver gerenciando a permissão de host do serviço para usar a gMSA por grupo, o grupo de segurança novo ou existente
Se estiver gerenciando o controle de acesso ao serviço por grupo, o grupo de segurança novo ou existente
Se a primeira chave raiz mestra do Active Directory não estiver implantada no domínio ou não tiver sido criada, crie-a. O resultado dessa criação pode ser verificado no log Operacional KdsSvc, ID de Evento 4004.
Para instruções sobre como criar a chave, confira Como criar a chave-raiz do KDS (Key Distribution Services). A chave raiz do Serviço de Distribuição de Chave da Microsoft (kdssvc.dll) do AD.
Ciclo de vida
O ciclo de vida de um farm de servidores que usa um recurso de gMSA geralmente envolve as seguintes tarefas:
Implantando um novo farm de servidores
Adicionando hosts membros a um farm de servidores existente
Encerrando hosts membros em um farm de servidores existente
Encerrando um farm de servidores existente
Removendo um host membro comprometido de um farm de servidores, se necessário.
Implantando um novo farm de servidores
Ao implantar um novo farm de servidores, o administrador de serviço precisará determinar:
Se o serviço dá suporte ao uso de gMSAs
Se o serviço requer conexões autenticadas de entrada ou de saída
Os nomes de conta do computador dos hosts membros para o serviço que usa a gMSA
O nome NetBIOS para o serviço
O nome de host DNS para o serviço
Os SPNs (Nomes da Entidades de Serviço) para o serviço
O intervalo de alteração de senha (o padrão é 30 dias).
Etapa 1: provisionando Contas de Serviço Gerenciado de grupo
Será possível criar uma gMSA apenas se o esquema de floresta tiver sido atualizado para o Windows Server 2012, a chave raiz mestra do Active Directory tiver sido implantada e se houver, no mínimo, um DC do Windows Server 2012 no domínio no qual a gMSA será criada.
A associação em Administradores de Domínio ou a capacidade de criar objetos msDS-GroupManagedServiceAccount é o mínimo necessário para concluir os procedimentos a seguir.
Observação
Um valor para o parâmetro -Name é sempre necessário (não importa se você especifica -Name ou não), sendo -DNSHostName, -RestrictToSingleComputer e -RestrictToOutboundAuthentication requisitos secundários para os três cenários de implantação.
Para criar uma gMSA usando o cmdlet New-ADServiceAccount
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do Windows PowerShell, digite os comandos a seguir e pressione ENTER. (O módulo Active Directory será carregado automaticamente.)
New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]
Parâmetro String Exemplo Nome Nome da conta ITFarm1 DNSHostName Nome de host DNS do serviço ITFarm1.contoso.com KerberosEncryptionType Quaisquer tipos de criptografia com suporte pelos servidores host Nenhum, RC4, AES128, AES256 ManagedPasswordIntervalInDays Intervalo de alteração de senha em dias (o padrão é 30 dias, se nenhum tiver sido fornecido) 90 PrincipalsAllowedToRetrieveManagedPassword As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte ITFarmHosts SamAccountName Nome NetBIOS para o serviço, se não for igual a Nome ITFarm1 ServicePrincipalNames SPNs (Nomes da entidade de serviço) para o serviço http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01 Importante
O intervalo de alteração de senha só pode ser configurado durante a criação. Se for necessário alterar o intervalo, crie uma nova gMSA e configure-a no momento da criação.
Exemplo
Insira o comando em uma única linha, mesmo se houver quebra automática de linha em várias linhas devido a restrições de formatação.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de criar objetos de msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Para criar uma gMSA para autenticação de saída usando apenas o cmdlet New-ADServiceAccount
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]
Parâmetro String Exemplo Nome Nome da conta ITFarm1 ManagedPasswordIntervalInDays Intervalo de alteração de senha em dias (o padrão é 30 dias, se nenhum tiver sido fornecido) 75 PrincipalsAllowedToRetrieveManagedPassword As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte ITFarmHosts Importante
O intervalo de alteração de senha só pode ser configurado durante a criação. Se for necessário alterar o intervalo, crie uma nova gMSA e configure-a no momento da criação.
Exemplo
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
Etapa 2: configurando o serviço de aplicativo de identidade do serviço
Para configurar os serviços no Windows Server 2012, confira a seguinte documentação de recurso:
Pool de aplicativos do IIS
Para obter mais informações, consulte Especificar uma identidade para um pool de aplicativos (IIS 7).
Serviços Windows
Para obter mais informações, consulte Serviços.
Tarefas
Para obter mais informações, consulte Visão geral sobre o Agendador de Tarefas.
Outros serviços poderiam dar suporte a gMSA. Consulte a documentação de produto apropriada para obter detalhes sobre como configurar esses serviços.
Adicionando hosts membros a um farm de servidores existente
Se estiver usando grupos de segurança para gerenciar hosts membros, adicione a conta de computador do novo host membro ao grupo de segurança (dos quais os hosts membro da gMSA fazem parte) usando um dos métodos a seguir.
A associação em Admins. do Domínio ou a capacidade de adicionar membros ao objeto de grupo de segurança é o mínimo necessário para concluir esses procedimentos.
Método 1: Usuários e computadores do Active Directory
Para obter os procedimentos sobre como usar o método, consulte Adicionar uma conta de computador a um grupo usando a interface do Windows e Gerenciar diferentes domínios no Centro Administrativo do Active Directory.
Método 2: dsmod
Para obter os procedimentos sobre como usar o método, consulte Adicionar uma conta de computador a um grupo usando a linha de comando.
Método 3: cmdlet Active Directory Add-ADPrincipalGroupMembership do Windows PowerShell
Para obter os procedimentos sobre como usar o método, consulte Add-ADPrincipalGroupMembership.
Se estiver usando contas de computador, localize as contas existentes e adicione a nova conta de computador.
A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de gerenciar objetos de msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Para adicionar hosts membros usando o cmdlet Set-ADServiceAccount
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
| Parâmetro | String | Exemplo |
|---|---|---|
| Nome | Nome da conta | ITFarm1 |
| PrincipalsAllowedToRetrieveManagedPassword | As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte | Host1, Host2, Host3 |
Exemplo
Por exemplo, para adicionar hosts membros, digite os comandos a seguir e pressione ENTER.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$
Atualizando as propriedades da Conta de Serviço Gerenciado de grupo
A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de gravar em objetos msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esses procedimentos.
Abra o Módulo Active Directory do Windows PowerShell e configure qualquer propriedade usando o cmdlet Set-ADServiceAccount.
Para obter informações detalhadas sobre como configurar essas propriedades, consulte Set-ADServiceAccount na Biblioteca do TechNet ou digite Get-Help Set-ADServiceAccount no prompt de comando do módulo Active Directory para Windows PowerShell e pressione ENTER.
Encerrando hosts membros em um farm de servidores existente
A associação em Admins. do Domínio ou a capacidade de remover membros do objeto de grupo de segurança é o mínimo necessário para concluir esses procedimentos.
Etapa 1: remover host membro da gMSA
Se estiver usando grupos de segurança para gerenciar hosts membros, remova a conta de computador do host membro encerrado no grupo de segurança do qual os hosts membro da gMSA fazem parte usando um dos métodos a seguir.
Método 1: Usuários e computadores do Active Directory
Para obter os procedimentos sobre como usar o método, consulte Excluir uma conta de computador usando a interface do Windows e Gerenciar diferentes domínios no Centro Administrativo do Active Directory.
Método 2: drsm
Para obter os procedimentos sobre como usar o método, consulte Excluir uma conta de computador usando a linha de comando.
Método 3: cmdlet Active Directory Remove-ADPrincipalGroupMembership do Windows PowerShell
Para informações detalhadas sobre como fazer isso, confira Remove-ADPrincipalGroupMembership na Biblioteca do TechNet ou digite Get-Help Remove-ADPrincipalGroupMembership no prompt de comando do módulo Active Directory para Windows PowerShell e pressione ENTER.
Se estiver listando contas de computador, recupere as contas existentes e adicione todas, exceto a conta de computador removida.
A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de gerenciar objetos de msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Para remover hosts membros usando o cmdlet Set-ADServiceAccount
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
| Parâmetro | String | Exemplo |
|---|---|---|
| Nome | Nome da conta | ITFarm1 |
| PrincipalsAllowedToRetrieveManagedPassword | As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte | Host1, Host3 |
Exemplo
Por exemplo, para remover hosts membros, digite os comandos a seguir e pressione ENTER.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$
Etapa 2: removendo uma Conta de Serviço Gerenciado de grupo do sistema
Remover as credenciais da gMSA armazenadas em cache do host membro usando a API Uninstall-ADServiceAccount ou NetRemoveServiceAccount no sistema host.
A associação em Administradores ou equivalente é o mínimo necessário para concluir esses procedimentos.
Para remover uma gMSA usando o cmdlet Uninstall-ADServiceAccount
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Uninstall-ADServiceAccount <ADServiceAccount>
Exemplo
Por exemplo, para remover as credenciais armazenadas em cache para uma gMSA denominada ITFarm1, digite o seguinte comando e pressione ENTER:
Uninstall-ADServiceAccount ITFarm1
Para obter mais informações sobre o cmdlet Uninstall-ADServiceAccount, no prompt de comando do módulo Active Directory para Windows PowerShell, digite Get-Help Uninstall-ADServiceAccounte pressione ENTER ou consulte as informações na Web no TechNet em Uninstall-ADServiceAccount.