Начало работы с групповыми управляемыми учетными записями служб
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В этой статье описано, как включить и использовать групповые управляемые учетные записи служб в Windows Server.
Протоколы проверки подлинности, поддерживающие взаимную проверку подлинности, например Kerberos, нельзя использовать, если только все экземпляры служб не используют один и тот же субъект. Например, когда клиентский компьютер подключается к службе, использующую балансировку нагрузки или другой метод, где все серверы, как представляется, одинаковы для клиента. Это означает, что каждая служба должна использовать одни и те же пароли или ключи, чтобы подтвердить свою личность. Учетные записи управляемых групп (gMSA) — это тип учетной записи, которую можно использовать с несколькими серверами. GMSA — это учетная запись домена, которая может использоваться для запуска служб на нескольких серверах без необходимости управлять паролем. GMSA обеспечивает автоматическое управление паролями и упрощенное управление именем субъекта-службы, включая делегирование управления другим администраторам.
Примечание.
Отказоустойчивые кластеры не поддерживают групповые управляемые учетные записи служб. При этом групповую или автономную учетную запись службы могут использовать службы, работающие поверх службы кластеров и представляющие собой службу Windows, пул приложений или назначенную задачу либо поддерживающие такие учетные записи изначально.
Службы могут выбрать субъект для использования. Каждый тип субъекта поддерживает разные службы и имеет разные ограничения.
Субъекты | Поддерживаемые службы | Управление паролями |
---|---|---|
Учетная запись компьютера в системе Windows | Ограничена одним сервером в домене | Управляется компьютером |
Учетная запись компьютера без системы Windows | Любой сервер в домене | нет |
Виртуальная учетная запись | Ограничена одним сервером | Управляется компьютером |
Автономная управляемая учетная запись службы Windows | Ограничена одним сервером в домене | Управляется компьютером |
Учетная запись пользователя | Любой сервер в домене | нет |
Групповая управляемая учетная запись службы | Любой сервер, присоединенный к домену Windows Server | Управляется контроллером домена и извлекается узлом |
Учетная запись компьютера Windows, автономная управляемая учетная запись службы Windows (sMSA) или виртуальные учетные записи не могут быть общими для нескольких систем. При использовании виртуальных учетных записей удостоверение также является локальным для компьютера и не распознается доменом. Если вы настраиваете учетную запись, которая будет использоваться различными службами на фермах серверов, выберите учетную запись пользователя или учетную запись не в системе Windows. В любом случае эти учетные записи не имеют возможности управления паролями с одной точкой управления. Без управления паролями каждая организация должна обновить ключи для службы в Active Directory и распространить эти ключи ко всем экземплярам этих служб.
В Windows Server службы и администраторы служб не должны управлять синхронизацией паролей между экземплярами служб при использовании групповых управляемых учетных записей служб (gMSA). Вы создаете gMSA в AD и настраиваете службу, которая поддерживает управляемые учетные записи служб. Использование gMSA область на любой компьютер, который может использовать LDAP для получения учетных данных gMSA. Вы можете создать gMSA с помощью New-ADServiceAccount
командлетов, входящих в модуль Active Directory. Следующие службы поддерживают конфигурацию удостоверения службы на узле.
Те же API, что и sMSA, поэтому продукты, поддерживающие sMSA, поддерживают gMSA
Службы, использующие Service Control Manager для настройки удостоверения входа
Службы, использующие диспетчер IIS для пулов приложений для настройки удостоверения
задачи, использующие планировщик заданий.
Необходимые компоненты
В приведенной ниже таблице указаны требования к операционной системе, которые должны выполняться для работы проверки подлинности Kerberos со службами, использующими групповые управляемые учетные записи служб. Требования Active Directory перечислены под таблицей.
Для выполнения команд Windows PowerShell, которые используются для администрирования групповых управляемых учетных записей служб, необходима 64-разрядная архитектура.
Операционная система
Элемент | Требование |
---|---|
Узел клиентского приложения | RFC-совместимый клиент Kerberos |
Контроллеры домена учетной записи пользователя | RFC-совместимый KDC |
Узлы, входящие в службу общего доступа | |
Контроллеры домена узла-члена | RFC-совместимый KDC |
Контроллеры домена учетной записи gMSA | Контроллеры домена Windows Server 2012, доступные для узла для получения пароля |
Узел внутренней службы | RFC-совместимый сервер приложений Kerberos |
Контроллеры домена учетной записи серверной службы | RFC-совместимый KDC |
Windows PowerShell для Active Directory | Средства удаленного сервера Администратор istrator служб домен Active Directory |
Доменные службы Active Directory
Учетные записи управляемых групп имеют следующие требования в службах домен Active Directory (AD DS).
Функциональный уровень домена и леса Active Directory должен быть Windows Server 2012 или более поздней версии. Дополнительные сведения об обновлении схемы см. в статье "Повышение уровня функциональности домена и леса Active Directory".
Если вы управляете разрешением узла службы на использование gMSA по группам, то новая или существующая группа безопасности.
Если управление доступом к службе управляется группой, то новая или существующая группа безопасности.
Корневой ключ служб распространения ключей (KDS) для Active Directory должен быть создан в домене. Результат его создания можно проверить в журнале операций KdsSvc.
Event ID 4004
Дополнительные сведения о создании корневого ключа KDS см. в статье "Создание корневого ключа KDS служб распространения ключей".
Инструкции по созданию ключа см. в разделе "Создание корневого ключа служб распространения ключей KDS". Корневым ключом для Active Directory является ключ службы распространения ключей (Майкрософт) — kdssvc.dll.
Развертывание фермы серверов федерации
Процесс создания фермы серверов и управления ими с помощью функции gMSA обычно включает следующие задачи.
Развертывание фермы серверов федерации
Добавление узлов в существующую ферму серверов
Списание узлов из существующей фермы серверов
Списание существующей фермы серверов
При необходимости удаление скомпрометированного узла-члена из фермы серверов
При развертывании новой фермы серверов администратор службы должен определить следующие сведения.
Служба поддерживает использование gMSAs
Для службы требуются входящий или исходящий аутентифицированные подключения.
имена учетных записей компьютеров для входящих в службу узлов с использованием групповых управляемых учетных записей служб;
NetBIOS-имя службы;
имя DNS-узла службы;
имена субъектов-служб (SPN) для службы;
Интервал изменения пароля (по умолчанию — 30 дней)
Создание групповых управляемых учетных записей служб
Вы можете создать gMSA только в том случае, если схема леса — Windows Server 2012 или более поздней версии. Необходимо также развернуть корневой ключ KDS для Active Directory и иметь по крайней мере один контроллер домена Windows Server 2012 или более поздней версии в домене, где требуется создать gMSA.
Внимание
Имена учетных записей gMSA должны быть уникальными на уровне леса, а не только в домене. Попытка создать учетную запись gMSA с повторяющимся именем завершится ошибкой, даже в разных доменах.
Членство в доменных Администратор или возможность создания объектов msDS-GroupManagedServiceAccount является минимальным обязательным для выполнения следующих процедур.
Чтобы создать gMSA с помощью PowerShell, выполните следующие действия.
На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.
Введите следующие команды в командной строке Windows PowerShell и нажмите клавишу ВВОД (Модуль Active Directory загружается автоматически.)
New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]
Примечание.
Для параметра всегда требуется значение
-Name
(указываете-Name
или нет), а-DNSHostName
-RestrictToSingleComputer
-RestrictToOutboundAuthentication
для трех сценариев развертывания — вторичные требования.Параметр Строка Пример Имя. Имя учетной записи ITFarm1 DNSHostName Имя DNS-узла службы ITFarm1.contoso.com KerberosEncryptionType Любые виды шифрования, поддерживаемые серверами узлов Нет, RC4, AES128, AES256 ManagedPasswordIntervalInDays Периодичность смены пароля в днях (если не указано, используется значение по умолчанию 30) 90 PrincipalsAllowedToRetrieveManagedPassword Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы ITFarmHosts SamAccountName NetBIOS-имя службы, если не совпадает с именем ITFarm1 ServicePrincipalNames Имена субъектов-служб (SPN) для службы http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01 Внимание
Периодичность смены пароля можно настроить только в процессе создания. Если вам нужно изменить это значение, создайте новую групповую управляемую учетную запись службы и настройте этот параметр в процессе ее создания.
Например, чтобы создать новую gMSA, вызванную
ITFarm1
для группы, используйте следующую команду. GMSA позволяет службе использовать типы шифрования Kerberos RC4, AES128 и AES256. Служба может использовать именаhttp/ITFarm1.contoso.com/contoso.com
субъектов-служб,http/ITFarm1.contoso.com/contoso
http/ITFarm1/contoso.com
аhttp/ITFarm1/contoso
также .Введите команды в одну строку, даже если кажется, что из-за ограничений форматирования они переносятся по словам на другую строку.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Членство в доменных Администратор, операторах учетных записей или возможности создания msDS-GroupManagedServiceAccount
объектов является минимальным обязательным для выполнения этой процедуры. Подробные сведения об использовании соответствующих учетных записей и членства в группах см . в группах безопасности Active Directory.
Чтобы создать gMSA для исходящей проверки подлинности только с помощью PowerShell, выполните действия.
На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.
В командной строке модуля Windows PowerShell Active Directory используйте следующую команду.
New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]
В следующем примере создается gMSA с помощью параметров в таблице.
Параметр Строка Пример Имя. Имя учетной записи ITFarm1 ManagedPasswordIntervalInDays Периодичность смены пароля в днях (если не указано, используется значение по умолчанию 30) 75 PrincipalsAllowedToRetrieveManagedPassword Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы ITFarmHosts Внимание
Периодичность смены пароля можно настроить только в процессе создания. Если вам нужно изменить это значение, создайте новую групповую управляемую учетную запись службы и настройте этот параметр в процессе ее создания.
Пример команды, использующий эти параметры, как показано ниже.
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
Настройка службы приложений удостоверений службы
Сведения о настройке служб в Windows Server см. в следующих статьях:
Пул приложений IIS
Дополнительные сведения см. в разделе Указание удостоверения для пула приложений (IIS 7).
Службы Windows
Дополнительные сведения см. в разделе Службы.
Задачи
Дополнительные сведения см. в статье Обзор планировщика задач.
Групповые управляемые учетные записи могут поддерживать и другие службы. Информацию о настройки таких служб см. в документации к соответствующим продуктам.
Добавление узлов-членов в существующую ферму серверов
При использовании групп безопасности для управления узлами-членами добавьте учетную запись компьютера для нового узла-члена в группу безопасности (в которую входят узлы-члены gMSA) с помощью одного из следующих методов.
Минимальным требованием для выполнения этих процедур является членство в группе Администраторы доменаили наличие права на добавление объектов в группу безопасности.
Метод 1: Active Directory — пользователи и компьютеры
Порядок использования данного метода см. в статье Добавление учетной записи компьютера в группу с помощью интерфейса Windows и Управление различными доменами в центре администрирования Active Directory.
Метод 2: dsmod
Порядок использования данного метода см. в статье Добавление учетной записи компьютера в группу с помощью командной строки.
Метод 3: командлет Add-ADPrincipalGroupMembership в Windows PowerShell Active Directory
Порядок использования данного метода см. в статье Add-ADPrincipalGroupMembership.
Если используются учетные записи компьютеров, найдите существующие учетные записи и добавьте новую учетную запись компьютера.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы доменалибо Операторы учетаили наличие права на управление объектами msDS-GroupManagedServiceAccount. Дополнительные сведения об использовании подходящих учетных записей и участия в группах см. в разделе Локальные группы и группы домена по умолчанию.
Добавление узлов-участников с помощью PowerShell
На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.
Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword
Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
В следующем примере добавляется член в ферму серверов с помощью параметров в таблице.
Параметр | Строка | Пример |
---|---|---|
Имя. | Имя учетной записи | ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword | Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы | Host1, Host2, Host3 |
В следующем примере возвращаются текущие члены фермы ITFarm1
.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
В следующем примере узлы-члены добавляются в существующую ферму ITFarm1
серверов.
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$
Обновление свойств управляемой учетной записи службы группы
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы доменалибо Операторы учетаили наличие права на запись в объекты msDS-GroupManagedServiceAccount.
Откройте модуль Active Directory для Windows PowerShell и задайте любое свойство с помощью командлета Set-ADServiceAccount
.
Подробные сведения о настройке этих свойств см. в разделе Set-ADServiceAccount в библиотеке TechNet или вводе Get-Help Set-ADServiceAccount
в модуль Active Directory для командной строки Windows PowerShell и нажатием клавиши ВВОД.
Удаление узлов-членов из существующей фермы серверов
Минимальным требованием для выполнения этих процедур является членство в группе Администраторы доменаили наличие права на удаление объектов из группы безопасности.
При использовании групп безопасности для управления узлами-участниками удалите учетную запись компьютера для выведенного узла-члена из группы безопасности, в которую узлы-члены gMSA входят в состав любого из следующих методов.
Метод 1: Active Directory — пользователи и компьютеры
Порядок использования данного метода см. в статье Удаление учетной записи компьютера с помощью интерфейса Windows и Управление различными доменами в центре администрирования Active Directory.
Метод 2.
drsm
Порядок использования данного метода см. в статье Удаление учетной записи компьютера с помощью командной строки.
Метод 3: командлет Remove-ADPrincipalGroupMembership в Windows PowerShell Active Directory
Подробные сведения об удалении члена из управляемой учетной записи службы группы см. в разделе Remove-ADPrincipalGroupMembership в библиотеке TechNet или вводом команды Get-Help Remove-ADPrincipalGroupMembership в модуле Active Directory для командной строки Windows PowerShell и нажатием клавиши ВВОД.
Если используются учетные записи компьютеров, извлеките существующие учетные записи и добавьте все учетные записи компьютеров, кроме удаленных.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы доменалибо Операторы учетаили наличие права на управление объектами msDS-GroupManagedServiceAccount. Дополнительные сведения об использовании подходящих учетных записей и участия в группах см. в разделе Локальные группы и группы домена по умолчанию.
Удаление узлов-участников с помощью PowerShell
На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.
Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword
Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
В следующем примере удаляется член в ферму серверов с помощью параметров в таблице.
Параметр | Строка | Пример |
---|---|---|
Имя. | Имя учетной записи | ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword | Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы | Host1, Host3 |
В следующем примере возвращаются текущие члены фермы ITFarm1
.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
В следующем примере удаляются узлы-члены из существующей фермы ITFarm1
серверов.
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$
Удаление управляемой учетной записи службы группы из системы
Удалите кэшированные учетные данные групповой управляемой учетной записи службы с входящего в службу узла с помощью API Uninstall-ADServiceAccount или NetRemoveServiceAccount API в системе соответствующего узла.
Минимальным требованием для выполнения этих процедур является членство в группе Администраторыили наличие эквивалентных прав.
Удаление gMSA с помощью PowerShell
На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.
Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:
Uninstall-ADServiceAccount <ADServiceAccount>
В следующем примере удаляется управляемая учетная запись службы Active Directory с компьютера.
Uninstall-ADServiceAccount ITFarm1
Для получения дополнительных сведений о командлете Uninstall-ADServiceAccount введите в командной строке модуля Active Directory для Windows PowerShell команду Get-Help Uninstall-ADServiceAccountи нажмите клавишу ВВОД либо изучите статью Uninstall-ADServiceAccountна веб-сайте TechNet.
Связанный контент
- Group Managed Service Accounts Overview (Обзор групповых управляемых учетных записей служб);
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по