Настройка домена для сценария групповых управляемых учетных записей служб (gMSA)

Windows Server »

Это важно

Эта статья относится только к MIM 2016 с пакетом обновления 2 (SP2).

Microsoft Identity Manger (MIM) работает с доменом Active Directory (AD). Вы уже должны установить AD и убедитесь, что у вас есть контроллер домена в вашей среде для домена, который можно администрировать. В этой статье описывается настройка групповых управляемых учетных записей служб в этом домене для использования MIM.

Обзор

Группы управляемых учетных записей служб устраняют необходимость периодически изменять пароли учетных записей службы. В выпуске MIM 2016 с пакетом обновления 2 (SP2) следующие компоненты MIM могут иметь учетные записи gMSA, настроенные для использования во время установки:

• Служба синхронизации MIM (FIMSynchronizationService)
• Служба MIM (FIMService)
• Пул приложений веб-сайта регистрации паролей MIM
• Пул приложений веб-сайта MIM для сброса пароля
• Пул приложений веб-сайта PAM REST API
• Служба мониторинга PAM (PamMonitoringService)
• Служба компонентов PAM (PrivilegeManagementComponentService)

Следующие компоненты MIM не поддерживают выполнение в качестве учетных записей gMSA:

• Портал MIM. Это связано с тем, что портал MIM является частью среды SharePoint. Вместо этого можно развернуть SharePoint в режиме фермы и настроить автоматическое изменение пароля в SharePoint Server.
• Все агенты управления
• Управление сертификатами Майкрософт
• BHOLD

Дополнительные сведения о gMSA см. в следующих статьях:

• Group Managed Service Accounts Overview (Обзор групповых управляемых учетных записей служб);

• New-ADServiceAccount

• Создайте корневой ключ служб распространения ключей (KDS)

Создание учетных записей пользователей и групп

Все компоненты развертывания MIM требуют собственных идентификаторов в домене. Сюда входят компоненты MIM, такие как служба и синхронизация, а также SharePoint и SQL.

Примечание.

В этом пошаговом руководстве используются примеры имен и значений из компании с именем Contoso. Замените их вашими. Рассмотрим пример.

• Имя контроллера домена — dc
• Доменное имя — contoso
• Имя сервера службы MIM — mimservice
• Имя сервера синхронизации MIM — mimsync
• Имя SQL Server — sql
• Пароль — Pass@word1

1. Войдите в контроллер домена в качестве администратора домена (например, Contoso\Administrator).

2. Создайте следующие учетные записи пользователей для служб MIM. Запустите PowerShell и введите следующий сценарий PowerShell, чтобы создать новых пользователей домена AD (не все учетные записи являются обязательными, хотя скрипт предоставляется только для информационных целей, рекомендуется использовать выделенную учетную запись MIMAdmin для процесса установки MIM и SharePoint).

   import-module activedirectory
   $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   New-ADUser –SamAccountName MIMAdmin –name MIMAdmin
   Set-ADAccountPassword –identity MIMAdmin –NewPassword $sp
   Set-ADUser –identity MIMAdmin –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcSharePoint –name svcSharePoint
   Set-ADAccountPassword –identity svcSharePoint –NewPassword $sp
   Set-ADUser –identity svcSharePoint –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcMIMSql –name svcMIMSql
   Set-ADAccountPassword –identity svcMIMSql –NewPassword $sp
   Set-ADUser –identity svcMIMSql –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcMIMAppPool –name svcMIMAppPool
   Set-ADAccountPassword –identity svcMIMAppPool –NewPassword $sp
   Set-ADUser –identity svcMIMAppPool –Enabled 1 -PasswordNeverExpires 1
   

3. Создайте группы безопасности для всех групп.

   New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
   New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators
   New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
   New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
   New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet
   Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
   Add-ADGroupMember -identity MIMSyncAdmins -Members MIMAdmin
   

4. Добавьте SPN для включения проверки подлинности Kerberos для учетных записей служб

   setspn -S http/mim.contoso.com contoso\svcMIMAppPool
   

5. Обязательно зарегистрируйте следующие записи типа 'A' в DNS для правильного разрешения имен (при условии, что служба MIM, портал MIM, а также веб-сайты для сброса и регистрации пароля будут размещены на одном компьютере)

   • mim.contoso.com — укажите физический IP-адрес службы MIM и сервера портала
   • passwordreset.contoso.com — укажите физический IP-адрес службы MIM и сервера портала
   • passwordregistration.contoso.com — укажите физический IP-адрес службы MIM и сервера портала

Создание корневого ключа службы распространения ключей

Убедитесь, что вы вошли в контроллер домена в качестве администратора, чтобы подготовить службу распространения ключей группы.

Если для домена уже есть корневой ключ (используйте Get-KdsRootKey для проверки), перейдите к следующему разделу.

6. При необходимости создайте корневой ключ служб распространения ключей (KDS) (только один раз на домен). Корневой ключ используется службой KDS на контроллерах домена (вместе с другими сведениями) для создания паролей. В качестве администратора домена введите следующую команду PowerShell:

   Add-KDSRootKey –EffectiveImmediately
   

   –EffectiveImmediately может потребовать задержку до 10 часов, поскольку потребуется репликация на все контроллеры домена. Эта задержка составила около 1 часа для двух контроллеров домена.

   

   Примечание.

   В лабораторной или тестовой среде можно избежать задержки репликации в 10 часов, выполнив следующую команду:
   Add-KDSRootKey -EffectiveTime ((Get-Date). AddHours(-10))

Создайте учетную запись службы синхронизации MIM, группу и субъект службы

---

Убедитесь, что все учетные записи компьютеров, на которых установлено программное обеспечение MIM, уже присоединены к домену. Затем выполните эти действия в PowerShell в качестве администратора домена.

7. Создайте группу MIMSync_Servers и добавьте все серверы синхронизации MIM в эту группу. Введите следующую команду, чтобы создать новую группу AD для серверов синхронизации MIM. Затем добавьте учетные записи компьютеров Active Directory для сервера синхронизации MIM, например, contoso\MIMSync$, в эту группу.

   New-ADGroup –name MIMSync_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMSync_Servers
   Add-ADGroupmember -identity MIMSync_Servers -Members MIMSync$
   

8. Создайте службу синхронизации MIM gMSA. Введите следующую команду PowerShell.

   New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"
   

   Проверьте сведения о GSMA, созданном с помощью команды Get-ADServiceAccount PowerShell:

   

9. Если вы планируете запустить службу уведомлений об изменении пароля, необходимо зарегистрировать имя субъекта-службы, выполнив следующую команду PowerShell:

   Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}
   

10. Перезагрузите сервер синхронизации MIM, чтобы обновить маркер Kerberos, связанный с сервером, так как членство в группе "MIMSync_Server" изменилось.

Создайте учетную запись службы агента управления MIM

11. Как правило, при установке службы MIM вы создадите новую учетную запись для агента управления службами MIM (учетная запись MIM MA). При использовании gMSA доступны два варианта:

• Используйте групповую управляемую учетную запись службы синхронизации MIM и не создавайте отдельную учетную запись.

  Вы можете пропустить создание учетной записи службы управления службами MIM. В этом случае используйте имя gMSA службы синхронизации MIM, например contoso\MIMSyncGMSAsvc$, а не учетную запись MIM MA при установке службы MIM. Далее в конфигурации агента управления службами MIM включите параметр "Использовать учетную запись MIMSync".

  Не включите параметр "Запрет входа из сети" для учетной записи MIM Synchronization Service gMSA, так как для учетной записи MIM MA требуется разрешение "Разрешить сетевой вход".

• Используйте регулярную учетную запись для учетной записи службы агента управления MIM.

  Запустите PowerShell от имени администратора домена и введите следующее, чтобы создать нового пользователя домена AD:

  $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
  
  New-ADUser –SamAccountName svcMIMMA –name svcMIMMA
  Set-ADAccountPassword –identity svcMIMMA –NewPassword $sp
  Set-ADUser –identity svcMIMMA –Enabled 1 –PasswordNeverExpires 1
  

  Не включите параметр "Запрет входа из сети" для учетной записи MIM MA, так как для нее требуется разрешение "Разрешить вход в сеть".

Создание учетных записей службы MIM, групп и субъекта-службы

Продолжайте использовать PowerShell в качестве администратора домена.

12. Создайте группу MIMService_Servers и добавьте все серверы службы MIM в эту группу. Введите следующую команду PowerShell, чтобы создать группу AD для серверов службы MIM и добавить учетную запись компьютера Active Directory сервера службы MIM, например contoso\MIMPortal$, в эту группу.

    New-ADGroup –name MIMService_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMService_Servers
    Add-ADGroupMember -identity MIMService_Servers -Members MIMPortal$
    

13. Создание службы MIM gMSA.

    New-ADServiceAccount -Name MIMSrvGMSAsvc -DNSHostName MIMSrvGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMService_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='FIMService/mimportal.contoso.com'} 
    

14. Зарегистрируйте имя субъекта-службы и включите делегирование Kerberos, выполнив следующую команду PowerShell:

    Set-ADServiceAccount -Identity MIMSrvGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="FIMService/mimportal.contoso.com"}
    

15. Для сценариев SSPR необходимо, чтобы учетная запись службы MIM могла взаимодействовать со службой синхронизации MIM, поэтому учетная запись службы MIM должна быть членом групп MIMSyncAdministrator или MIM Sync Password Reset и Browse:

    Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMSrvGMSAsvc$ 
    Add-ADGroupmember -identity MIMSyncBrowse -Members MIMSrvGMSAsvc$ 
    

16. Перезагрузите сервер службы MIM, чтобы обновить маркер Kerberos, связанный с сервером, так как членство в группе "MIMService_Servers" изменилось.

При необходимости создайте другие учетные записи и группы MIM

Если вы настраиваете SSPR MIM, выполните те же рекомендации, что и описано выше для службы синхронизации MIM и службы MIM, вы можете создать другие gMSA для:

• Пул приложений веб-сайта для сброса пароля MIM
• Пул приложений веб-сайта регистрации паролей MIM

Если вы настраиваете MIM PAM, следуя тем же рекомендациям, что и описаны выше для службы синхронизации MIM и службы MIM, вы можете создать другие gMSA для:

• Пул приложений веб-сайта MIM PAM REST API
• Служба компонентов MIM PAM
• Служба мониторинга MIM PAM

Указание gMSA при установке MIM

Как правило, в большинстве случаев при использовании установщика MIM необходимо указать, что вы хотите использовать gMSA вместо обычной учетной записи, добавьте символ знака доллара в имя gMSA, например contoso\MIMSyncGMSAsvc$, и оставьте поле пароля пустым. Одним из исключений является средство miisactivate.exe , которое принимает имя gMSA без знака доллара.

Windows Server »