Поделиться через


Выполнение оценок с управляемыми учетными записями служб

Управляемые учетные записи служб (MSA) — это тип субъекта безопасности, доступный в текущих поддерживаемых версиях служб домена Active Directory. Они имеют общие характеристики субъектов безопасности и компьютера, и пользователя. Они могут добавляться в группы безопасности, могут выполнять проверку подлинности и доступ к ресурсам в сети. Они предназначены для использования службами, пулами приложений IIS и запланированными задачами.

Преимущества управляемых учетных записей служб

Управляемые учетные записи служб позволяют решить конкретные вопросы, связанные с использованием учетных записей пользователей для выполнения служб, запланированных задач и пулов приложений IIS.

  • Автоматическое управление паролями
  • Упрощенное управление именем субъекта службы (SPN)
  • Не может использоваться для интерактивного входа в Windows
  • Простой контроль того, какие компьютеры авторизованы проверять подлинность MSA и выполнять код в их контексте

Оценки по запросу, которые могут использовать управляемые учетные записи служб

Управляемые учетные записи служб можно настроить для работы со следующими оценками по запросу

  • Active Directory
  • Безопасность Active Directory
  • System Center Configuration Manager
  • SharePoint
  • SQL Server
  • Клиент Windows
  • Windows Server

Примечание.

Управляемые учетные записи служб официально не поддерживаются службой поддержки пользователей Майкрософт для некоторых конфигураций среды. Хотя они работают в большинстве сценариев, может потребоваться использовать учетную запись домена, когда конфигурации среды препятствуют использованию управляемой учетной записи службы.

Подготовка управляемых учетных записей служб

Предварительным требованием для настройки запланированной задачи оценки для выполнения в качестве MSA является подготовка или создание MSA в службах домена Active Directory. Каждая из поддерживаемых оценок указывает требования по авторизации и доступу к учетной записи запланированной задачи, чтобы она была успешно выполнена. Чтобы узнать требования к доступу для учетной записи запланированной задачи, обратитесь к документам о начале работы с оценками и документам о предварительных требованиях.

Существует два типа управляемых учетных записей служб. Обе можно настроить для запланированной задачи поддерживаемой оценки.

  • Отдельные управляемые учетные записи служб (также известные как виртуальные учетные записи) могут быть авторизованы только для проверки подлинности на компьютере, подключенном к одному домену.
  • Групповые управляемые учетные записи служб могут быть авторизованы для проверки подлинности на компьютерах, подключенных к нескольким доменам.

Для подготовки и настройки обоих типов MSA требуется модуль Windows PowerShell Active Directory. Контроллеры домена обычно уже имеют этот модуль PowerShell, установленный во время установки роли контроллера домена.

Этот модуль, компонент инструментария администратора удаленного сервера, может быть добавлен к Windows Server SKU через диспетчер сервера. Этот модуль может быть также добавлен в Windows 10.

Сценарий 1: отдельная управляемая учетная запись служб (sMSA)

Для успешной подготовки отдельных управляемых учетных записей служб необходимо использовать схему леса служб домена Active Directory минимум на компьютере Windows Server 2008 R2. Компьютеры, выполняющие запланированные задачи под учетными записями sMSA, должны работать на Windows Server 2012 или более поздней версии.

Для подготовки sMSA к выполнению оценок по запросу необходимо сделать три шага.

  1. Создать sMSA с использованием командлета New-ADServiceAccount PowerShell.
  2. Авторизовать компьютер по сбору данных на получение пароля для sMSA с использованием командлета Add-ADComputerServiceAccount PowerShell.
  3. Предоставить sMSA требуемый доступ к оцениваемой среде в соответствии с документацией о предварительных требованиях для релевантной настраиваемой оценки.

Создать отдельную управляемую учетную запись служб

Чтобы создать sMSA, выполните следующую команду в рамках сеанса PowerShell из контроллера домена или члена домена с установленным модулем Windows PowerShell Active Directory, используя учетную запись с необходимыми правами для создания учетных записей в Active Directory (по умолчанию необходимые права есть у операторов учетных записей или администраторов домена).

New-ADServiceAccount -Name <sMSAaccountname>  -RestrictToSingleComputer

например: PS C:> New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer

Авторизовать компьютер по сбору данных для использования sMSA

Чтобы авторизовать компьютер по сбору данных на получение пароля для sMSA, выполните следующую команду в рамках сеанса PowerShell из контроллера домена или члена домена с установленным модулем Windows PowerShell Active Directory, используя учетную запись с необходимыми правами для создания учетных записей в Active Directory (по умолчанию необходимые права есть у операторов учетных записей или администраторов домена).

Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”

например: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"

Установка sMSA на компьютер для сбора данных

Предварительное кэширование sMSA на компьютере для сбора данных — важный шаг для подтверждения того, что учетная запись подготовлена правильно и компьютер для сбора данных сможет успешно получить пароль sMSA и использовать эту учетную запись. На компьютере для сбора данных с установленным модулем Active Directory Powershell выполните следующее.

Install-ADServiceAccount -Identity “sMSA samaccountname”

например: Install-ADServiceAccount -Identity "sMSA-SVC$"

Примечание.

Если в ответ возвращается ошибка "командлет не найден", установите модуль Active Directory Powershell так, как объяснено в разделе Подготовка управляемых учетных записей служб выше.

Для других ошибок просмотрите канал журнала событий Microsoft-Windows-Security-Netlogon/Operational для событий категории MSA.

Сценарий 2: групповая управляемая учетная запись служб (sMSA)

Для успешной подготовки групповых управляемых учетных записей служб необходимо использовать схему леса служб домена Active Directory минимум на компьютере Windows Server 2012. Компьютеры, выполняющие запланированные задачи под учетными записями gMSA, должны работать на Windows Server 2012 или более поздней версии.

Для подготовки gMSA к выполнению оценок по запросу необходимо сделать три шага.

  1. Создать корневой ключ служб распространения ключей KDS в Active Directory, используя команду Add-KDSRootKey
  2. Создать gMSA и авторизовать компьютер по сбору данных на получение пароля для gMSA с использованием командлета New-ADServiceAccount PowerShell.
  3. Предоставить gMSA требуемый доступ к оцениваемой среде в соответствии с документацией о предварительных требованиях для релевантной настраиваемой оценки.

Подготовка корневого ключа KDS

Если корневой ключ KDS еще никогда не создавался в лесу Active Directory, его нужно создать.  Чтобы определить, создан ли уже корневой ключ KDS, выполните следующую команду из сеанса PowerShell.

Get-KdsRootKey

Примечание.

Если эта команда не вернула никакого результата, значит корневого ключа в лесу Active Directory нет.

Чтобы создать корневой ключ KDS, выполните следующую команду в рамках сеанса PowerShell из контроллера домена или члена домена с установленным модулем Windows PowerShell Active Directory, используя учетную запись с необходимыми правами для создания учетных записей в Active Directory (по умолчанию необходимые права есть у администраторов предприятия и администраторов домена в корневом домене леса).

Add-KdsRootKey -EffectiveImmediately 

Команда Add-KdsRootKey -EffectiveImmediately позволяет создать gMSAs через 10 часов, чтобы гарантировать, что репликация была передана на все контроллеры домена.

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) 

Команда Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) позволяет создать gMSAs немедленно.

При таком подходе возникает риск неудачи при создании или использовании gMSA, так как репликация AD по всему лесу при нормальных условиях работы занимает несколько часов.

Создать групповую управляемую учетную запись служб

Чтобы создать gMSA, выполните следующую команду в рамках сеанса PowerShell из контроллера домена или члена домена с установленным модулем Windows PowerShell Active Directory, используя учетную запись с необходимыми правами для создания учетных записей в Active Directory (по умолчанию необходимые права есть у операторов учетных записей или администраторов домена).

New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”

Например: PS C:> New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"

Установка gMSA на компьютер для сбора данных

Предварительное кэширование gMSA на компьютере для сбора данных — важный шаг для подтверждения того, что учетная запись подготовлена правильно и компьютер для сбора данных сможет успешно получить пароль gMSA и использовать эту учетную запись. На компьютере для сбора данных с установленным модулем Active Directory Powershell выполните следующее.

Install-ADServiceAccount -Identity “gMSA samaccountname”

Например: Install-ADServiceAccount -Identity "gMSA-SVC$"

Примечание.

Если в ответ возвращается ошибка "командлет не найден", установите модуль Active Directory Powershell так, как объяснено в разделе Подготовка управляемых учетных записей служб выше.

Для других ошибок просмотрите канал журнала событий Microsoft-Windows-Security-Netlogon/Operational для событий категории MSA.