Group Managed Service Accounts Overview
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В этой статье для ИТ-специалистов представлена групповая управляемая учетная запись службы, описывающая практические приложения, изменения в реализации корпорации Майкрософт, а также требования к оборудованию и программному обеспечению.
Описание компонента
Автономная управляемая учетная запись службы (sMSA) — это учетная запись управляемого домена, которая обеспечивает автоматическое управление паролями, упрощенное управление именем субъекта-службы и возможность делегировать управление другим администраторам. Такой тип управляемой учетной записи службы реализован в ОС Windows Server 2008 R2 и Windows 7.
Групповая управляемая учетная запись службы (gMSA) предоставляет те же функции в домене, но также расширяет эту функцию на нескольких серверах. При подключении к службе, размещенной на ферме серверов, например в решении "Балансировка сетевой нагрузки", протоколы проверки подлинности, поддерживающие взаимную проверку подлинности, требуют, чтобы все экземпляры служб использовали один и тот же субъект. Если gMSA используется в качестве субъектов-служб, операционная система Windows управляет паролем учетной записи, а не полагаться на администратора на управление паролем.
Служба распространения ключей (Майкрософт) (kdssvc.dll) предоставляет механизм безопасного получения новейшего или определенного ключа с помощью идентификатора ключа для учетной записи Active Directory. Служба распространения ключей использует общий секрет для создания ключей учетной записи. Эти ключи периодически изменяются. Для gMSA контроллер домена вычисляет пароль для ключа, предоставленного службами распространения ключей, в дополнение к другим атрибутам gMSA. Узлы-члены могут получить текущие и предыдущие значения паролей, связався с контроллером домена.
Практическое применение
GMSA предоставляют единое решение для удостоверений для служб, работающих на ферме серверов, или в системах за сетевыми Load Balancer. Предоставляя решение gMSA, службы можно настроить для нового субъекта gMSA, а управление паролями осуществляется Windows.
Использование gMSA, служб или администраторов служб не требуется управлять синхронизацией паролей между экземплярами служб. GMSA поддерживает узлы, которые хранятся в автономном режиме в течение длительного периода времени, и управление узлами-членами для всех экземпляров службы. Это означает, что можно развертывать ферму серверов, поддерживающую единое удостоверение, по которому существующие клиентские компьютеры могут проверять подлинность без идентификации экземпляра службы, к которому они подключаются.
Отказоустойчивые кластеры не поддерживают групповые управляемые учетные записи служб. При этом групповую или автономную учетную запись службы могут использовать службы, работающие поверх службы кластеров и представляющие собой службу Windows, пул приложений или назначенную задачу либо поддерживающие такие учетные записи изначально.
Требования к программному обеспечению
Для выполнения Windows PowerShell команд, которые используются для администрирования gMSA, требуется 64-разрядная архитектура.
Управляемая учетная запись службы зависит от поддерживаемых протоколом Kerberos типов шифрования. Если проверка подлинности клиентского компьютера на сервере выполняется с помощью Kerberos, контроллер домена создает билет службы Kerberos, защищенный шифром, который поддерживают и контроллер, и сервер. Контроллер домена использует атрибут msDS-SupportedEncryptionTypes учетной записи, чтобы определить, какое шифрование поддерживает сервер, и, если атрибут отсутствует, предполагается, что клиентский компьютер не поддерживает более строгие типы шифрования. Если узел настроен на отсутствие поддержки RC4, проверка подлинности всегда завершится ошибкой. Поэтому стандарт AES всегда должен быть явным образом настроен для поддержки MSA.
Примечание
Начиная с версии Windows Server 2008 R2, стандарт DES отключен по умолчанию. Дополнительные сведения о поддерживаемых типах шифрования см. в статье Изменения в проверке подлинности Kerberos.
GMSA не применяются к операционным системам Windows до Windows Server 2012.
Сведения о диспетчере сервера
Для реализации MSA и gMSA не требуется никаких действий по настройке с помощью диспетчер сервера или командлета Install-WindowsFeature.
См. также раздел
В следующей таблице представлены ссылки на дополнительные ресурсы, связанные с управляемыми учетными записями служб и групповыми управляемыми учетными записями служб.
| Тип содержимого | Ссылки |
|---|---|
| Оценка продукта | What's New for Managed Service Accounts Документация по управляемым учетным записям служб для Windows 7 и Windows Server 2008 R2 Пошаговое руководство по использованию учетных записей служб |
| Planning | Пока недоступно |
| Deployment | Пока недоступно |
| Операции | Управляемые учетные записи служб в Active Directory |
| Устранение неполадок | Пока недоступно |
| Ознакомительная версия | начало работы с групповыми управляемыми учетными записями служб |
| Средства и параметры | Управляемые учетные записи служб в доменных службах Active Directory |
| Ресурсы сообщества | Управляемые учетные записи служб: общие сведения, реализация, рекомендации и устранение неполадок |
| Связанные технологии | Обзор доменных служб Active Directory |