Group Managed Service Accounts Overview

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Este tópico para o profissional de TI apresenta a Conta de Serviço Gerenciada do grupo descrevendo aplicativos práticos, alterações na implementação da Microsoft e requisitos de hardware e software.

Descrição do recurso

Uma sMSA (Conta de Serviço Gerenciada) autônoma é uma conta de domínio gerenciada que fornece gerenciamento automático de senha, gerenciamento simplificado de SPN (nome da entidade de serviço) e a capacidade de delegar o gerenciamento a outros administradores. Esse tipo de MSA (conta de serviço gerenciado) foi introduzido no Windows Server 2008 R2 e no Windows 7.

A gMSA (Conta de Serviço Gerenciado) do grupo fornece a mesma funcionalidade dentro do domínio, mas também estende essa funcionalidade em vários servidores. Ao conectar-se a um serviço hospedado em um farm de servidores, como a solução Balanceamento de Carga de Rede, os protocolos de autenticação que dão suporte à autenticação mútua exigem que todas as instâncias dos serviços usem a mesma entidade de segurança. Quando um gMSA é usado como entidades de serviço, o sistema operacional Windows gerencia a senha da conta em vez de depender do administrador para gerenciar a senha.

O Serviço de Distribuição de Chaves da Microsoft (kdssvc.dll) fornece o mecanismo para obter de forma segura a chave mais recente ou uma chave específica com um identificador de chave para uma conta do Active Directory. O Serviço de Distribuição de Chaves compartilha um segredo que é usado para criar chaves para a conta. Essas chaves são alteradas periodicamente. Para um gMSA, o controlador de domínio calcula a senha na chave fornecida pelos Serviços de Distribuição de Chaves, além de outros atributos da gMSA. Os hosts membros podem obter os valores de senha atuais e anteriores entrando em contato com um controlador de domínio.

Aplicações práticas

As gMSAs fornecem uma única solução de identidade para serviços em execução em um farm de servidores ou em sistemas por trás de Load Balancer de rede. Ao fornecer uma solução gMSA, os serviços podem ser configurados para a nova entidade de segurança gMSA e o gerenciamento de senha é tratado por Windows.

Usando um gMSA, os serviços ou administradores de serviços não precisam gerenciar a sincronização de senha entre instâncias de serviço. O gMSA dá suporte a hosts que são mantidos offline por um longo período de tempo e gerenciamento de hosts membros para todas as instâncias de um serviço. Isso significa que você pode implantar um farm de servidores que fornece suporte para uma única identidade na qual os computadores clientes atuais podem se autenticar sem saberem a qual instância do serviço eles estão se conectando.

Os clusters de failover não dão suporte a gMSAs. No entanto, os serviços que são executados sobre o Serviço de cluster poderão usar uma gMSA ou uma sMSA, se forem um serviço Windows, um pool de aplicativos, uma tarefa agendada ou oferecerem suporte nativo a gMSA ou sMSA.

Requisitos de software

Uma arquitetura de 64 bits é necessária para executar os comandos Windows PowerShell que são usados para administrar gMSAs.

Uma conta de serviços gerenciados depende de tipos de criptografia Kerberos com suporte. Quando um computador cliente se autentica em um servidor usando Kerberos, o controlador de domínio cria um ticket de serviço Kerberos protegido com uma criptografia que é compatível tanto nesse controlador quanto no servidor. O DC usa o atributo msDS-SupportedEncryptionTypes da conta para determinar qual criptografia o servidor dá suporte e, se não houver atributo, ele pressupõe que o computador cliente não dá suporte a tipos de criptografia mais fortes. Se o host estiver configurado para não dar suporte ao RC4, a autenticação sempre falhará. Por esse motivo, o AES sempre deve ser configurado explicitamente para contas de serviços gerenciados.

Observação

A partir do Windows Server 2008 R2, o DES fica desabilitado por padrão. Para obter mais informações sobre os tipos de criptografia com suporte, consulte Alterações da autenticação do Kerberos.

GMSAs não são aplicáveis a sistemas operacionais Windows antes de Windows Server 2012.

Informações sobre o Gerenciador do Servidor

Não há nenhuma etapa de configuração necessária para implementar MSA e gMSA usando Gerenciador do Servidor ou o cmdlet Install-WindowsFeature.

A tabela a seguir fornece links para recursos adicionais relacionados às Contas de Serviço Gerenciado e Contas de Serviço Gerenciado de grupo.

Tipo de conteúdo Referências
Avaliação do produto What's New for Managed Service Accounts

Documentação de Contas de Serviço Gerenciado para Windows 7 e Windows Server 2008 R2

Guia passo a passo de contas de serviço

Planejamento Ainda não está disponível
Implantação Ainda não está disponível
Operações Contas de Serviço Gerenciado no Active Directory
Solução de problemas Ainda não está disponível
Evaluation Introdução com contas de serviço gerenciado de grupo
Ferramentas e configurações Contas de Serviço Gerenciado nos Serviços de Domínio Active Directory
Recursos da comunidade Contas de Serviços Gerenciados: compreendendo, implementando, práticas recomendadas e solução de problemas
Tecnologias relacionadas Visão geral do Active Directory Domain Services