Group Managed Service Accounts Overview (Обзор групповых управляемых учетных записей служб);

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Эта статья для ИТ-специалистов представляет группу управляемой учетной записи службы (gMSA), описывая практические приложения, изменения в реализации Корпорации Майкрософт и требования к оборудованию и программному обеспечению.

Описание функции

Автономная управляемая учетная запись службы (sMSA) — это учетная запись управляемого домена, которая обеспечивает автоматическое управление паролями, упрощенное управление именем субъекта-службы и возможность делегировать управление другими администраторами. Администраторы доменов могут делегировать управление службами администраторам служб, способным управлять полным жизненным циклом управляемой учетной записи службы или групповой управляемой учетной записи службы. Существующие клиентские компьютеры могут проходить проверку подлинности в любой такой службе, не зная, какой экземпляр службы они проверяют подлинность. Такой тип управляемой учетной записи службы реализован в ОС Windows Server 2008 R2 и Windows 7.

Учетная запись управляемой службы группы (gMSA) предоставляет одинаковые функции в домене, а также расширяет функциональные возможности нескольких серверов. Это минимизирует объем служебных данных администрирования учетной записи службы за счет разрешения Windows осуществлять управление паролями таких учетных записей. При подключении к службе, размещенной на ферме серверов, таких как решение Network Load Balanced, протоколы проверки подлинности, поддерживающие взаимную проверку подлинности, требуют, чтобы все экземпляры служб использовали один и тот же субъект. При использовании gMSA в качестве субъекта-службы операционная система Windows управляет паролем учетной записи вместо того, чтобы использовать администратор для управления паролем.

Служба распространения ключей Майкрософт (kdssvc.dll) позволяет безопасно получить последний ключ или определенный ключ с идентификатором ключа для учетной записи Active Directory. Служба распространения ключей предоставляет общий доступ к секрету, который используется для создания ключей для учетной записи. Эти ключи периодически изменяются. Для gMSA контроллер домена вычисляет пароль на ключ, предоставляемый службами распространения ключей, а также другие атрибуты gMSA. Узлы-члены могут получить текущие и предыдущие значения паролей, связався с контроллером домена.

Практическое применение

GMSAs предоставляют единое решение для удостоверений для служб, работающих на ферме серверов или в системах за сетевой подсистемой балансировки нагрузки. Предоставляя решение gMSA, можно настроить службы для нового субъекта gMSA, а Windows обрабатывает управление паролями.

Если службы или администраторы служб используют gMSA, им не нужно управлять синхронизацией паролей между экземплярами служб. GMSA поддерживает размещение узлов в автономном режиме в течение длительного периода времени и управляет узлами-членами для всех экземпляров службы. Вы можете развернуть ферму серверов, поддерживающую одно удостоверение, к которому могут пройти проверку подлинности существующие клиентские компьютеры, не зная, к какой экземпляру службы они подключаются.

Хотя отказоустойчивые кластеры не поддерживают gMSAs, службы, работающие в службе кластеров, могут использовать gMSA или sMSA, если они служба Windows, пул приложений, запланированная задача или встроенная поддержка gMSA или sMSA.

Требования к программному обеспечению

Чтобы запустить команды Windows PowerShell, необходимые для администрирования gMSAs, необходимо иметь 64-разрядную архитектуру.

Учетная запись управляемой службы зависит от поддерживаемых типов шифрования Kerberos. Когда клиентский компьютер проходит проверку подлинности на сервере с помощью Kerberos, контроллер домена создает билет службы Kerberos, защищенный шифрованием, которое поддерживает контроллер домена и сервер. Контроллер домена использует атрибут msDS-SupportedEncryptionTypes учетной записи, чтобы определить, какое шифрование поддерживает сервер. Если атрибут не существует, контроллер домена обрабатывает клиентский компьютер так, как он не поддерживает более строгие типы шифрования. Если узел не поддерживает RC4, проверка подлинности всегда завершается ошибкой. По этой причине необходимо всегда настраивать AES для MSAs.

Примечание.

По состоянию на Windows Server 2008 R2 des отключен по умолчанию. Дополнительные сведения о поддерживаемых типах шифрования см. в статье Изменения в проверке подлинности Kerberos.

Примечание.

GMSAs не применимы к операционным системам Windows ранее, чем Windows Server 2012. Для Windows Server 2012 командлеты Windows PowerShell по умолчанию управляют gMSAs вместо управляемых сервером учетных записей служб.

Сведения о диспетчере сервера

Для реализации MSA и gMSA не требуется дополнительная настройка с помощью диспетчер сервера или командлетаInstall-WindowsFeature.

Следующие шаги

Ниже приведены некоторые другие ресурсы, которые можно ознакомиться с дополнительными сведениями об управляемых учетных записях служб.

• Документация по управляемым учетным записям служб для Windows 7 и Windows Server 2008 R2
• Пошаговое руководство по учетным записям служб
• Управляемые учетные записи служб в Active Directory
• Начало работы с групповыми управляемыми учетными записями служб
• Управляемые учетные записи служб в службах домен Active Directory
• Управляемые учетные записи служб: общие сведения, реализация, рекомендации и устранение неполадок
• Обзор доменных служб Active Directory