Getting Started with Group Managed Service Accounts

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Este guia fornece instruções passo a passo e informações em segundo plano para habilitar e usar contas de serviço gerenciado de grupo em Windows Server 2012.

Neste documento

Observação

Este tópico inclui cmdlets do Windows PowerShell de exemplo que podem ser usados para automatizar alguns dos procedimentos descritos. Para obter mais informações, confira Usando os Cmdlets.

Pré-requisitos

Consulte a seção neste tópico em Requisitos para as Contas de Serviço Gerenciado de grupo.

Introdução

Quando um computador cliente se conecta a um serviço hospedado em um farm de servidores que usa NLB (balanceamento de carga de rede) ou algum outro método em que, para o cliente, todos os servidores parecem ser o mesmo serviço; os protocolos de autenticação que dão suporte à autenticação mútua, tal como o Kerberos, não podem ser usados, a menos que todas as instâncias dos serviços usem a mesma entidade. Isso significa que cada serviço tem que usar as mesmas senhas/chaves para provar sua identidade.

Observação

Os clusters de failover não dão suporte a gMSAs. No entanto, os serviços que são executados sobre o Serviço de cluster poderão usar uma gMSA ou uma sMSA, se forem um serviço Windows, um pool de aplicativos, uma tarefa agendada ou oferecerem suporte nativo a gMSA ou sMSA.

Os serviços têm as entidades a seguir entre as quais escolher, e cada uma delas apresenta determinadas limitações.

Principals Serviços compatíveis Gerenciamento de senhas
Conta de Computador do sistema do Windows Limitado a um servidor ingressado no domínio O computador gerencia
Conta de Computador sem o sistema do Windows Qualquer servidor ingressado no domínio Nenhum
Conta Virtual Limitado a um servidor O computador gerencia
Conta de Serviço Gerenciado independente do Windows 7 Limitado a um servidor ingressado no domínio O computador gerencia
Conta de usuário Qualquer servidor ingressado no domínio Nenhum
Conta de Serviço Gerenciado de Grupo Qualquer servidor ingressado no domínio Windows Server 2012 O controlador de domínio gerencia e o host recupera

Uma conta de computador Windows, uma Windows 7 sMSA (Conta de Serviço Gerenciado) autônoma ou contas virtuais não podem ser compartilhadas em vários sistemas. No caso de contas virtuais, a identidade também é local para o computador e não é reconhecida pelo domínio. Se você configurasse uma conta para serviços em farms de servidores a serem compartilhados, teria que escolher uma conta de usuário ou uma conta de computador separada do sistema do Windows. De qualquer maneira, essas contas não têm a funcionalidade de gerenciamento de senhas de ponto único de controle. Isso cria um problema em que cada organização precisa criar uma solução dispendiosa para atualizar chaves do serviço no Active Directory e distribuir as chaves a todas as instâncias desses serviços.

Com Windows Server 2012, os serviços ou administradores de serviços não precisam gerenciar a sincronização de senha entre instâncias de serviço ao usar gMSA (Contas de Serviço Gerenciado de Grupo). Você provisiona a gMSA no AD e configura os serviços que dão suporte a Contas de Serviço Gerenciado. O uso do gMSA tem o escopo de qualquer computador que seja capaz de usar o LDAP para recuperar as credenciais da gMSA. Você pode provisionar uma gMSA usando os cmdlets *-ADServiceAccount que fazem parte do módulo do Active Directory. A configuração de identidade do serviço no host tem suporte por:

  • Algumas APIs, como sMSA, portanto, produtos que dão suporte a sMSA oferecerão suporte a gMSA

  • Serviços que usam o Gerenciador de Controle de Serviço para configurar a identidade de logon

  • Serviços que usam o gerenciador do IIS em pools de aplicativos para configurar identidade

  • Tarefas que usam o Agendador de Tarefas.

Requisitos para as Contas de Serviço Gerenciado de grupo

A tabela a seguir lista os requisitos de sistema operacional para a autenticação Kerberos funcionar com serviços que usam gMSA. Os requisitos do Active Directory estão listados após a tabela.

Uma arquitetura de 64 bits é necessária para executar os comandos do Windows PowerShell usados para administrar as Contas de Serviço Gerenciado de grupo.

Requisitos do sistema operacional

Elemento Requisito Sistema operacional
Host de Aplicativo Cliente Cliente Kerberos compatível com RFC Pelo menos Windows XP
DCs de domínio da conta de usuário KDC compatível com RFC Pelo menos Windows Server 2003
Hosts membros de serviço compartilhado Windows Server 2012
DCs de domínio do host membro KDC compatível com RFC Pelo menos Windows Server 2003
DCs de domínio da conta gMSA Windows Server 2012 DCs disponíveis para o host recuperar a senha Domínio com Windows Server 2012 que pode ter alguns sistemas anteriores a Windows Server 2012
Host de serviço back-end Servidor de aplicativos Kerberos compatível com RFC Pelo menos Windows Server 2003
DCs de domínio da conta de serviço de back-end KDC compatível com RFC Pelo menos Windows Server 2003
Windows PowerShell para Active Directory Windows PowerShell para Active Directory instalado localmente em um computador que dê suporte a uma arquitetura de 64 bits ou em seu computador de gerenciamento remoto (por exemplo, usando o Remote Server Administration Toolkit) Windows Server 2012

Requisitos do Serviço de Domínio Active Directory

  • O esquema do Active Directory na floresta do domínio gMSA precisa ser atualizado para Windows Server 2012 para criar um gMSA.

    Você pode atualizar o esquema instalando um controlador de domínio que executa Windows Server 2012 ou executando a versão de adprep.exe de um computador em execução Windows Server 2012. O valor de atributo de versão do objeto para o objeto CN=Schema,CN=Configuration,DC=Contoso,DC=Com deve ser 52.

  • Nova conta gMSA provisionada

  • Se você estiver gerenciando a permissão de host do serviço para usar a gMSA por grupo, o grupo de segurança novo ou existente

  • Se estiver gerenciando o controle de acesso ao serviço por grupo, o grupo de segurança novo ou existente

  • Se a primeira chave raiz mestra do Active Directory não estiver implantada no domínio ou não tiver sido criada, crie-a. O resultado dessa criação pode ser verificado no log Operacional KdsSvc, ID de Evento 4004.

Para obter instruções sobre como criar a chave, consulte Criar a chave raiz KDS dos Serviços de Distribuição de Chaves. A chave raiz do Serviço de Distribuição de Chave da Microsoft (kdssvc.dll) do AD.

Ciclo de vida

O ciclo de vida de um farm de servidores que usa um recurso de gMSA geralmente envolve as seguintes tarefas:

  • Implantando um novo farm de servidores

  • Adicionando hosts membros a um farm de servidores existente

  • Encerrando hosts membros em um farm de servidores existente

  • Encerrando um farm de servidores existente

  • Removendo um host membro comprometido de um farm de servidores, se necessário.

Implantando um novo farm de servidores

Ao implantar um novo farm de servidores, o administrador de serviço precisará determinar:

  • Se o serviço dá suporte ao uso de gMSAs

  • Se o serviço requer conexões autenticadas de entrada ou de saída

  • Os nomes de conta do computador dos hosts membros para o serviço que usa a gMSA

  • O nome NetBIOS para o serviço

  • O nome de host DNS para o serviço

  • Os SPNs (Nomes da Entidades de Serviço) para o serviço

  • O intervalo de alteração de senha (o padrão é 30 dias).

Etapa 1: provisionando Contas de Serviço Gerenciado de grupo

Você só poderá criar um gMSA se o esquema de floresta tiver sido atualizado para Windows Server 2012, a chave raiz mestra para o Active Directory tiver sido implantada e houver pelo menos uma Windows Server 2012 DC no domínio no qual a gMSA será criada.

A associação em administradores de domínio ou a capacidade de criar objetos msDS-GroupManagedServiceAccount é o mínimo necessário para concluir os procedimentos a seguir.

Observação

Um valor para o parâmetro -Name é sempre necessário (se você especificar -Name ou não), com -DNSHostName, -RestrictToSingleComputer e -RestrictToOutboundAuthentication sendo requisitos secundários para os três cenários de implantação.

Para criar uma gMSA usando o cmdlet New-ADServiceAccount

  1. No controlador de domínio Windows Server 2012, execute Windows PowerShell na barra de tarefas.

  2. No prompt de comando do Windows PowerShell, digite os comandos a seguir e pressione ENTER. (O módulo Active Directory será carregado automaticamente.)

    Cadeia de caracteres New-ADServiceAccount [-Name] <-DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]>

    Parâmetro String Exemplo
    Nome Nome da conta ITFarm1
    DNSHostName Nome de host DNS do serviço ITFarm1.contoso.com
    KerberosEncryptionType Quaisquer tipos de criptografia com suporte pelos servidores host None, RC4, AES128, AES256
    ManagedPasswordIntervalInDays Intervalo de alteração de senha em dias (o padrão é 30 dias, se nenhum tiver sido fornecido) 90
    PrincipalsAllowedToRetrieveManagedPassword As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte ITFarmHosts
    SamAccountName Nome NetBIOS para o serviço, se não for igual a Nome ITFarm1
    ServicePrincipalNames SPNs (Nomes da entidade de serviço) para o serviço http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

    Importante

    O intervalo de alteração de senha só pode ser configurado durante a criação. Se for necessário alterar o intervalo, crie uma nova gMSA e configure-a no momento da criação.

    Exemplo

    Insira o comando em uma única linha, mesmo se houver quebra automática de linha em várias linhas devido a restrições de formatação.

    New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
    

A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de criar objetos de msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas apropriadas e as associações de grupo, consulte Grupos Padrão locais e de domínio.

Para criar uma gMSA para autenticação de saída usando apenas o cmdlet New-ADServiceAccount
  1. No controlador de domínio Windows Server 2012, execute Windows PowerShell na barra de tarefas.

  2. No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:

    Cadeia de caracteres New-ADServiceAccount [-Name] <> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]

    Parâmetro String Exemplo
    Nome Nome da conta ITFarm1
    ManagedPasswordIntervalInDays Intervalo de alteração de senha em dias (o padrão é 30 dias, se nenhum tiver sido fornecido) 75
    PrincipalsAllowedToRetrieveManagedPassword As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte ITFarmHosts

    Importante

    O intervalo de alteração de senha só pode ser configurado durante a criação. Se for necessário alterar o intervalo, crie uma nova gMSA e configure-a no momento da criação.

Exemplo

New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$

Etapa 2: configurando o serviço de aplicativo de identidade do serviço

Para configurar os serviços no Windows Server 2012, consulte a seguinte documentação do recurso:

Outros serviços poderiam dar suporte a gMSA. Consulte a documentação de produto apropriada para obter detalhes sobre como configurar esses serviços.

Adicionando hosts membros a um farm de servidores existente

Se estiver usando grupos de segurança para gerenciar hosts membros, adicione a conta de computador para o novo host de membro ao grupo de segurança (do qual os hosts membros da gMSA são membros) usando um dos métodos a seguir.

A associação em Admins. do Domínio ou a capacidade de adicionar membros ao objeto de grupo de segurança é o mínimo necessário para concluir esses procedimentos.

Se estiver usando contas de computador, localize as contas existentes e adicione a nova conta de computador.

A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de gerenciar objetos de msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.

Para adicionar hosts membros usando o cmdlet Set-ADServiceAccount

  1. No controlador de domínio Windows Server 2012, execute Windows PowerShell na barra de tarefas.

  2. No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:

    Cadeia de caracteres Get-ADServiceAccount [-Identity] <> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Parâmetro String Exemplo
Nome Nome da conta ITFarm1
PrincipalsAllowedToRetrieveManagedPassword As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte Host1, Host2, Host3

Exemplo

Por exemplo, para adicionar hosts membros, digite os comandos a seguir e pressione ENTER.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

Atualizando as propriedades da Conta de Serviço Gerenciado de grupo

A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de gravar em objetos msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esses procedimentos.

Abra o Módulo Active Directory do Windows PowerShell e configure qualquer propriedade usando o cmdlet Set-ADServiceAccount.

Para obter informações detalhadas sobre como configurar essas propriedades, consulte Set-ADServiceAccount na Biblioteca do TechNet ou digite Get-Help Set-ADServiceAccount no prompt de comando do módulo Active Directory para Windows PowerShell e pressione ENTER.

Encerrando hosts membros em um farm de servidores existente

A associação em Admins. do Domínio ou a capacidade de remover membros do objeto de grupo de segurança é o mínimo necessário para concluir esses procedimentos.

Etapa 1: remover host membro da gMSA

Se estiver usando grupos de segurança para gerenciar hosts membros, remova a conta de computador do host membro desativado do grupo de segurança do qual os hosts membros da gMSA são membros usando um dos métodos a seguir.

Se estiver listando contas de computador, recupere as contas existentes e adicione todas, exceto a conta de computador removida.

A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de gerenciar objetos de msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.

Para remover hosts membros usando o cmdlet Set-ADServiceAccount
  1. No controlador de domínio Windows Server 2012, execute Windows PowerShell na barra de tarefas.

  2. No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:

    Cadeia de caracteres Get-ADServiceAccount [-Identity] <> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Parâmetro String Exemplo
Nome Nome da conta ITFarm1
PrincipalsAllowedToRetrieveManagedPassword As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte Host1, Host3

Exemplo

Por exemplo, para remover hosts membros, digite os comandos a seguir e pressione ENTER.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

Etapa 2: removendo uma Conta de Serviço Gerenciado de grupo do sistema

Remover as credenciais da gMSA armazenadas em cache do host membro usando a API Uninstall-ADServiceAccount ou NetRemoveServiceAccount no sistema host.

A associação em Administradores ou equivalente é o mínimo necessário para concluir esses procedimentos.

Para remover uma gMSA usando o cmdlet Uninstall-ADServiceAccount
  1. No controlador de domínio Windows Server 2012, execute Windows PowerShell na barra de tarefas.

  2. No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:

    Uninstall-ADServiceAccount <ADServiceAccount>

    Exemplo

    Por exemplo, para remover as credenciais armazenadas em cache para uma gMSA denominada ITFarm1, digite o seguinte comando e pressione ENTER:

    Uninstall-ADServiceAccount ITFarm1
    

Para obter mais informações sobre o cmdlet Uninstall-ADServiceAccount, no prompt de comando do módulo Active Directory para Windows PowerShell, digite Get-Help Uninstall-ADServiceAccounte pressione ENTER ou consulte as informações na Web no TechNet em Uninstall-ADServiceAccount.