Group Managed Service Accounts Overview (Обзор групповых управляемых учетных записей служб);

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Эта статья для ИТ-специалистов представляет группу управляемой учетной записи службы (gMSA), описывая практические приложения, изменения в реализации Корпорации Майкрософт и требования к оборудованию и программному обеспечению.

Описание функции

Автономная управляемая учетная запись службы (sMSA) — это учетная запись управляемого домена, которая обеспечивает автоматическое управление паролями, упрощенное управление именем субъекта-службы и возможность делегирования управления другим администраторам. Такой тип управляемой учетной записи службы реализован в ОС Windows Server 2008 R2 и Windows 7.

Учетная запись управляемой службы группы (gMSA) предоставляет одинаковые функции в домене, а также расширяет функциональные возможности нескольких серверов. При подключении к службе, размещенной на ферме серверов, таких как решение Network Load Balanced, протоколы проверки подлинности, поддерживающие взаимную проверку подлинности, требуют, чтобы все экземпляры служб использовали один и тот же субъект. При использовании gMSA в качестве субъекта-службы операционная система Windows управляет паролем учетной записи вместо того, чтобы использовать администратор для управления паролем.

Служба распространения ключей Майкрософт (kdssvc.dll) позволяет безопасно получить последний ключ или определенный ключ с идентификатором ключа для учетной записи Active Directory. Служба распространения ключей предоставляет общий доступ к секрету, который используется для создания ключей для учетной записи. Эти ключи периодически изменяются. Для gMSA контроллер домена вычисляет пароль на ключ, предоставляемый службами распространения ключей, а также другие атрибуты gMSA. Узлы-члены могут получить текущие и предыдущие значения паролей, связався с контроллером домена.

Практическое применение

GMSAs предоставляют единое решение для удостоверений для служб, работающих на ферме серверов или в системах за сетевой подсистемой балансировки нагрузки. Предоставляя решение gMSA, можно настроить службы для нового субъекта gMSA, а Windows обрабатывает управление паролями.

Если службы или администраторы служб используют gMSA, им не нужно управлять синхронизацией паролей между экземплярами служб. GMSA поддерживает размещение узлов в автономном режиме в течение длительного периода времени и управляет узлами-членами для всех экземпляров службы. Вы можете развернуть ферму серверов, поддерживающую одно удостоверение, к которому могут пройти проверку подлинности существующие клиентские компьютеры, не зная, к какой экземпляру службы они подключаются.

Отказоустойчивые кластеры не поддерживают GMSAs. Однако службы, которые выполняются поверх службы кластера, могут использовать gMSA или sMSA, если они служба Windows, пул приложений, запланированная задача или встроенная поддержка gMSA или sMSA.

Требования к программному обеспечению

Чтобы запустить команды Windows PowerShell, необходимые для администрирования gMSAs, необходимо иметь 64-разрядную архитектуру.

Учетная запись управляемой службы зависит от поддерживаемых типов шифрования Kerberos. Когда клиентский компьютер проходит проверку подлинности на сервере с помощью Kerberos, контроллер домена создает билет службы Kerberos, защищенный шифрованием, которое поддерживает контроллер домена и сервер. Контроллер домена использует атрибут msDS-SupportedEncryptionTypes учетной записи, чтобы определить, какое шифрование поддерживает сервер. Если атрибут не существует, контроллер домена обрабатывает клиентский компьютер так, как он не поддерживает более строгие типы шифрования. Если узел не поддерживает RC4, проверка подлинности всегда завершается ошибкой. По этой причине необходимо всегда настраивать AES для MSAs.

Примечание.

По состоянию на Windows Server 2008 R2 des отключен по умолчанию. Дополнительные сведения о поддерживаемых типах шифрования см. в статье Изменения в проверке подлинности Kerberos.

GMSAs не применимы к операционным системам Windows ранее, чем Windows Server 2012.

Сведения о диспетчере сервера

Для реализации MSA и gMSA не требуется дополнительная настройка с помощью диспетчер сервера или командлетаInstall-WindowsFeature.

Следующие шаги

Ниже приведены некоторые другие ресурсы, которые можно ознакомиться с дополнительными сведениями об управляемых учетных записях служб.