What's New for Managed Service Accounts
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este tópico para profissionais de TI descreve as alterações de funcionalidades das Contas de Serviço Gerenciado com a introdução da gMSA (Conta de Serviço Gerenciado de grupo) no Windows Server 2012 e no Windows 8.
A conta de serviço gerenciado foi desenvolvida para fornecer serviços e tarefas, como serviços do Windows e pools de aplicativos do IIS, para compartilhar suas próprias contas de domínio, ao mesmo tempo em que elimina a necessidade de um administrador para administrar manualmente as senhas dessas contas. É uma conta de domínio gerenciado que oferece o gerenciamento automático de senha.
Novidades das Contas de Serviço Gerenciado no Windows Server 2012 e no Windows 8
Veja a seguir uma descrição das alterações de funcionalidades foram feitas na MSA no Windows Server 2012 e no Windows 8.
Group Managed Service Accounts
Quando uma conta de domínio está configurada para um servidor em um domínio, o computador cliente pode autenticar e conectar a esse serviço. Anteriormente, apenas dois tipos de conta forneciam identidade sem exigir o gerenciamento de senha. Porém, esses tipos de conta têm limitações:
A conta de computador é limitada a um servidor de domínio e as senhas são gerenciadas pelo computador.
A Conta de Serviço Gerenciado é limitada a um servidor de domínio e as senhas são gerenciadas pelo computador.
Essas contas não podem ser compartilhadas por vários sistemas. Portanto, você deve manter regularmente a conta de cada serviço em cada sistema para impedir a expiração indesejada da senha.
Qual é o valor agregado desta alteração?
A Conta de Serviço Gerenciado de grupo resolve esse problema, porque a senha da conta é gerenciada por controladores de domínio do Windows Server 2012 e pode ser recuperada por vários sistemas do Windows Server 2012. Isso minimiza a sobrecarga administrativa de uma conta de serviço, permitindo que o Windows controle o gerenciamento de senha dessas contas.
O que passou a funcionar de maneira diferente?
Em computadores que executam o Windows Server 2012 ou o Windows 8, uma MSA de grupo pode ser criada e gerenciada por meio do Gerenciador de Controle de Serviço, de modo que várias instâncias do serviço (por exemplo, instâncias implantadas em um farm de servidores) possam ser gerenciadas em um só servidor. Ferramentas e utilitários que você usava para administrar Contas de Serviço Gerenciado, como o Gerenciador de Pool de Aplicativos do IIS, podem ser usados com Contas de Serviço Gerenciado de grupo. Administradores de domínio podem delegar o gerenciamento de serviços a administradores de serviço, que por sua vez podem gerenciar todo o ciclo de vida de uma Conta de Serviços Gerenciados ou da Conta de Serviços Gerenciados de grupo. Os computadores cliente existentes poderão autenticar em qualquer serviço desse tipo sem saber em que instância de serviço estão autenticando.
Funcionalidades removidas ou reprovadas
Para o Windows Server 2012, os cmdlets do Windows PowerShell usam como padrão as Contas de Serviço Gerenciado de grupo em vez das Contas de Serviço Gerenciado de servidor.