Поделиться через

Начало работы с групповыми управляемыми учетными записями служб

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

В этой статье описано, как включить и использовать групповые управляемые учетные записи служб в Windows Server.

Протоколы проверки подлинности, поддерживающие взаимную проверку подлинности, например Kerberos, нельзя использовать, если только все экземпляры служб не используют один и тот же субъект. Например, когда клиентский компьютер подключается к службе, использующую балансировку нагрузки или другой метод, где все серверы, как представляется, одинаковы для клиента. Это означает, что каждая служба должна использовать одни и те же пароли или ключи, чтобы подтвердить свою личность. Учетные записи управляемых групп (gMSA) — это тип учетной записи, которую можно использовать с несколькими серверами. GMSA — это учетная запись домена, которая может использоваться для запуска служб на нескольких серверах без необходимости управлять паролем. GMSA обеспечивает автоматическое управление паролями и упрощенное управление именем субъекта-службы, включая делегирование управления другим администраторам.

Примечание.

Отказоустойчивые кластеры не поддерживают групповые управляемые учетные записи служб. При этом групповую или автономную учетную запись службы могут использовать службы, работающие поверх службы кластеров и представляющие собой службу Windows, пул приложений или назначенную задачу либо поддерживающие такие учетные записи изначально.

Службы могут выбрать субъект для использования. Каждый тип субъекта поддерживает разные службы и имеет разные ограничения.

Субъекты Поддерживаемые службы Управление паролями
Учетная запись компьютера в системе Windows Ограничена одним сервером в домене Управляется компьютером
Учетная запись компьютера без системы Windows Любой сервер в домене нет
Виртуальная учетная запись Ограничена одним сервером Управляется компьютером
Автономная управляемая учетная запись службы Windows Ограничена одним сервером в домене Управляется компьютером
Учетная запись пользователя Любой сервер в домене нет
Групповая управляемая учетная запись службы Любой сервер, присоединенный к домену Windows Server Управляется контроллером домена и извлекается узлом

Учетная запись компьютера Windows, автономная управляемая учетная запись службы Windows (sMSA) или виртуальные учетные записи не могут быть общими для нескольких систем. При использовании виртуальных учетных записей удостоверение также является локальным для компьютера и не распознается доменом. Если вы настраиваете учетную запись, которая будет использоваться различными службами на фермах серверов, выберите учетную запись пользователя или учетную запись не в системе Windows. В любом случае эти учетные записи не имеют возможности управления паролями с одной точкой управления. Без управления паролями каждая организация должна обновить ключи для службы в Active Directory и распространить эти ключи ко всем экземплярам этих служб.

В Windows Server службы и администраторы служб не должны управлять синхронизацией паролей между экземплярами служб при использовании групповых управляемых учетных записей служб (gMSA). Вы создаете gMSA в AD и настраиваете службу, которая поддерживает управляемые учетные записи служб. Использование gMSA область на любой компьютер, который может использовать LDAP для получения учетных данных gMSA. Вы можете создать gMSA с помощью New-ADServiceAccount командлетов, входящих в модуль Active Directory. Следующие службы поддерживают конфигурацию удостоверения службы на узле.

  • Те же API, что и sMSA, поэтому продукты, поддерживающие sMSA, поддерживают gMSA

  • Службы, использующие Service Control Manager для настройки удостоверения входа

  • Службы, использующие диспетчер IIS для пулов приложений для настройки удостоверения

  • задачи, использующие планировщик заданий.

Необходимые компоненты

В приведенной ниже таблице указаны требования к операционной системе, которые должны выполняться для работы проверки подлинности Kerberos со службами, использующими групповые управляемые учетные записи служб. Требования Active Directory перечислены под таблицей.

Для выполнения команд Windows PowerShell, которые используются для администрирования групповых управляемых учетных записей служб, необходима 64-разрядная архитектура.

Операционная система

Элемент Требование
Узел клиентского приложения RFC-совместимый клиент Kerberos
Контроллеры домена учетной записи пользователя RFC-совместимый KDC
Узлы, входящие в службу общего доступа
Контроллеры домена узла-члена RFC-совместимый KDC
Контроллеры домена учетной записи gMSA Контроллеры домена Windows Server 2012, доступные для узла для получения пароля
Узел внутренней службы RFC-совместимый сервер приложений Kerberos
Контроллеры домена учетной записи серверной службы RFC-совместимый KDC
Windows PowerShell для Active Directory Средства удаленного сервера Администратор istrator служб домен Active Directory

Доменные службы Active Directory

Учетные записи управляемых групп имеют следующие требования в службах домен Active Directory (AD DS).

  • Функциональный уровень домена и леса Active Directory должен быть Windows Server 2012 или более поздней версии. Дополнительные сведения об обновлении схемы см. в статье "Повышение уровня функциональности домена и леса Active Directory".

  • Если вы управляете разрешением узла службы на использование gMSA по группам, то новая или существующая группа безопасности.

  • Если управление доступом к службе управляется группой, то новая или существующая группа безопасности.

  • Корневой ключ служб распространения ключей (KDS) для Active Directory должен быть создан в домене. Результат его создания можно проверить в журнале операций KdsSvc. Event ID 4004 Дополнительные сведения о создании корневого ключа KDS см. в статье "Создание корневого ключа KDS служб распространения ключей".

Инструкции по созданию ключа см. в разделе "Создание корневого ключа служб распространения ключей KDS". Корневым ключом для Active Directory является ключ службы распространения ключей (Майкрософт) — kdssvc.dll.

Развертывание фермы серверов федерации

Процесс создания фермы серверов и управления ими с помощью функции gMSA обычно включает следующие задачи.

  • Развертывание фермы серверов федерации

  • Добавление узлов в существующую ферму серверов

  • Списание узлов из существующей фермы серверов

  • Списание существующей фермы серверов

  • При необходимости удаление скомпрометированного узла-члена из фермы серверов

При развертывании новой фермы серверов администратор службы должен определить следующие сведения.

  • Служба поддерживает использование gMSAs

  • Для службы требуются входящий или исходящий аутентифицированные подключения.

  • имена учетных записей компьютеров для входящих в службу узлов с использованием групповых управляемых учетных записей служб;

  • NetBIOS-имя службы;

  • имя DNS-узла службы;

  • имена субъектов-служб (SPN) для службы;

  • Интервал изменения пароля (по умолчанию — 30 дней)

Создание групповых управляемых учетных записей служб

Вы можете создать gMSA только в том случае, если схема леса — Windows Server 2012 или более поздней версии. Необходимо также развернуть корневой ключ KDS для Active Directory и иметь по крайней мере один контроллер домена Windows Server 2012 или более поздней версии в домене, где требуется создать gMSA.

Внимание

Имена учетных записей gMSA должны быть уникальными на уровне леса, а не только в домене. Попытка создать учетную запись gMSA с повторяющимся именем завершится ошибкой, даже в разных доменах.

Членство в доменных Администратор или возможность создания объектов msDS-GroupManagedServiceAccount является минимальным обязательным для выполнения следующих процедур.

Чтобы создать gMSA с помощью PowerShell, выполните следующие действия.

  1. На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.

  2. Введите следующие команды в командной строке Windows PowerShell и нажмите клавишу ВВОД (Модуль Active Directory загружается автоматически.)

    New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]

    Примечание.

    Для параметра всегда требуется значение -Name (указываете -Name или нет), а -DNSHostName-RestrictToSingleComputer-RestrictToOutboundAuthentication для трех сценариев развертывания — вторичные требования.

    Параметр Строка Пример
    Имя. Имя учетной записи ITFarm1
    DNSHostName Имя DNS-узла службы ITFarm1.contoso.com
    KerberosEncryptionType Любые виды шифрования, поддерживаемые серверами узлов Нет, RC4, AES128, AES256
    ManagedPasswordIntervalInDays Периодичность смены пароля в днях (если не указано, используется значение по умолчанию 30) 90
    PrincipalsAllowedToRetrieveManagedPassword Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы ITFarmHosts
    SamAccountName NetBIOS-имя службы, если не совпадает с именем ITFarm1
    ServicePrincipalNames Имена субъектов-служб (SPN) для службы http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

    Внимание

    Периодичность смены пароля можно настроить только в процессе создания. Если вам нужно изменить это значение, создайте новую групповую управляемую учетную запись службы и настройте этот параметр в процессе ее создания.

    Например, чтобы создать новую gMSA, вызванную ITFarm1 для группы, используйте следующую команду. GMSA позволяет службе использовать типы шифрования Kerberos RC4, AES128 и AES256. Служба может использовать имена http/ITFarm1.contoso.com/contoso.comсубъектов-служб, http/ITFarm1.contoso.com/contosohttp/ITFarm1/contoso.comа http/ITFarm1/contosoтакже .

    Введите команды в одну строку, даже если кажется, что из-за ограничений форматирования они переносятся по словам на другую строку.

     New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso

Членство в доменных Администратор, операторах учетных записей или возможности создания msDS-GroupManagedServiceAccount объектов является минимальным обязательным для выполнения этой процедуры. Подробные сведения об использовании соответствующих учетных записей и членства в группах см . в группах безопасности Active Directory.

Чтобы создать gMSA для исходящей проверки подлинности только с помощью PowerShell, выполните действия.

  1. На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.

  2. В командной строке модуля Windows PowerShell Active Directory используйте следующую команду.

    New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]

    В следующем примере создается gMSA с помощью параметров в таблице.

    Параметр Строка Пример
    Имя. Имя учетной записи ITFarm1
    ManagedPasswordIntervalInDays Периодичность смены пароля в днях (если не указано, используется значение по умолчанию 30) 75
    PrincipalsAllowedToRetrieveManagedPassword Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы ITFarmHosts

    Внимание

    Периодичность смены пароля можно настроить только в процессе создания. Если вам нужно изменить это значение, создайте новую групповую управляемую учетную запись службы и настройте этот параметр в процессе ее создания.

    Пример команды, использующий эти параметры, как показано ниже.

    New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$

Настройка службы приложений удостоверений службы

Сведения о настройке служб в Windows Server см. в следующих статьях:

Групповые управляемые учетные записи могут поддерживать и другие службы. Информацию о настройки таких служб см. в документации к соответствующим продуктам.

Добавление узлов-членов в существующую ферму серверов

При использовании групп безопасности для управления узлами-членами добавьте учетную запись компьютера для нового узла-члена в группу безопасности (в которую входят узлы-члены gMSA) с помощью одного из следующих методов.

Минимальным требованием для выполнения этих процедур является членство в группе Администраторы доменаили наличие права на добавление объектов в группу безопасности.

Если используются учетные записи компьютеров, найдите существующие учетные записи и добавьте новую учетную запись компьютера.

Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы доменалибо Операторы учетаили наличие права на управление объектами msDS-GroupManagedServiceAccount. Дополнительные сведения об использовании подходящих учетных записей и участия в группах см. в разделе Локальные группы и группы домена по умолчанию.

Добавление узлов-участников с помощью PowerShell

  1. На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.

  2. Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

В следующем примере добавляется член в ферму серверов с помощью параметров в таблице.

Параметр Строка Пример
Имя. Имя учетной записи ITFarm1
PrincipalsAllowedToRetrieveManagedPassword Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы Host1, Host2, Host3

В следующем примере возвращаются текущие члены фермы ITFarm1.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

В следующем примере узлы-члены добавляются в существующую ферму ITFarm1серверов.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

Обновление свойств управляемой учетной записи службы группы

Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы доменалибо Операторы учетаили наличие права на запись в объекты msDS-GroupManagedServiceAccount.

Откройте модуль Active Directory для Windows PowerShell и задайте любое свойство с помощью командлета Set-ADServiceAccount .

Подробные сведения о настройке этих свойств см. в разделе Set-ADServiceAccount в библиотеке TechNet или вводе Get-Help Set-ADServiceAccount в модуль Active Directory для командной строки Windows PowerShell и нажатием клавиши ВВОД.

Удаление узлов-членов из существующей фермы серверов

Минимальным требованием для выполнения этих процедур является членство в группе Администраторы доменаили наличие права на удаление объектов из группы безопасности.

При использовании групп безопасности для управления узлами-участниками удалите учетную запись компьютера для выведенного узла-члена из группы безопасности, в которую узлы-члены gMSA входят в состав любого из следующих методов.

Если используются учетные записи компьютеров, извлеките существующие учетные записи и добавьте все учетные записи компьютеров, кроме удаленных.

Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы доменалибо Операторы учетаили наличие права на управление объектами msDS-GroupManagedServiceAccount. Дополнительные сведения об использовании подходящих учетных записей и участия в группах см. в разделе Локальные группы и группы домена по умолчанию.

Удаление узлов-участников с помощью PowerShell

  1. На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.

  2. Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

В следующем примере удаляется член в ферму серверов с помощью параметров в таблице.

Параметр Строка Пример
Имя. Имя учетной записи ITFarm1
PrincipalsAllowedToRetrieveManagedPassword Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы Host1, Host3

В следующем примере возвращаются текущие члены фермы ITFarm1.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

В следующем примере удаляются узлы-члены из существующей фермы ITFarm1серверов.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

Удаление управляемой учетной записи службы группы из системы

Удалите кэшированные учетные данные групповой управляемой учетной записи службы с входящего в службу узла с помощью API Uninstall-ADServiceAccount или NetRemoveServiceAccount API в системе соответствующего узла.

Минимальным требованием для выполнения этих процедур является членство в группе Администраторыили наличие эквивалентных прав.

Удаление gMSA с помощью PowerShell

  1. На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.

  2. Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:

    Uninstall-ADServiceAccount <ADServiceAccount>

    В следующем примере удаляется управляемая учетная запись службы Active Directory с компьютера.

    Uninstall-ADServiceAccount ITFarm1

Для получения дополнительных сведений о командлете Uninstall-ADServiceAccount введите в командной строке модуля Active Directory для Windows PowerShell команду Get-Help Uninstall-ADServiceAccountи нажмите клавишу ВВОД либо изучите статью Uninstall-ADServiceAccountна веб-сайте TechNet.

Связанный контент