Microsoft Entra Domain Services'da grup tarafından yönetilen hizmet hesabı (gMSA) oluşturma

Uygulamalar ve hizmetler genellikle diğer kaynaklarla kimlik doğrulaması yapmak için bir kimliğe ihtiyaç duyar. Örneğin, bir web hizmetinin veritabanı hizmetiyle kimlik doğrulaması gerekebilir. Bir uygulama veya hizmetin web sunucusu grubu gibi birden çok örneği varsa, bu kaynaklar için kimlikleri el ile oluşturmak ve yapılandırmak zaman alır.

Bunun yerine, Microsoft Entra Domain Services yönetilen etki alanında bir grup tarafından yönetilen hizmet hesabı (gMSA) oluşturulabilir. Windows işletim sistemi, gMSA kimlik bilgilerini otomatik olarak yönetir ve bu da büyük kaynak gruplarının yönetimini kolaylaştırır.

Bu makalede, Azure PowerShell kullanarak yönetilen bir etki alanında gMSA oluşturma adımları gösterilmektedir.

Başlamadan önce

Bu makaleyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.
  • Azure aboneliğiniz yoksa bir hesap oluşturun.
• Aboneliğinizle ilişkilendirilmiş bir Microsoft Entra kiracısı, şirket içi dizinle veya yalnızca bulut diziniyle eşitlenir.
  • Gerekirse bir Microsoft Entra kiracısı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
• Microsoft Entra Kiracınızda etkinleştirilmiş ve yapılandırılmış bir Microsoft Entra Domain Services yönetilen etki alanı.
  • Gerekirse, Microsoft Entra Domain Services yönetilen etki alanı oluşturmak ve yapılandırmak için öğreticiyi tamamlayın.
• Etki Alanı Hizmetleri tarafından yönetilen etki alanına katılmış bir Windows Server yönetim VM'si.
  • Gerekirse, yönetim VM'sini oluşturmak için öğreticiyi tamamlayın.

Yönetilen hizmet hesaplarına genel bakış

Tek başına yönetilen hizmet hesabı (sMSA), parolası otomatik olarak yönetilen bir etki alanı hesabıdır. Bu yaklaşım hizmet asıl adı (SPN) yönetimini basitleştirir ve diğer yöneticilere temsilcili yönetim sağlar. Hesap için kimlik bilgilerini el ile oluşturmanız ve döndürmeniz gerekmez.

Grup tarafından yönetilen hizmet hesabı (gMSA), etki alanındaki birden çok sunucu için aynı yönetim basitleştirmesini sağlar. gMSA, sunucu grubunda barındırılan bir hizmetin tüm örneklerinin, karşılıklı kimlik doğrulama protokollerinin çalışması için aynı hizmet sorumlusunu kullanmasına olanak tanır. Bir gMSA hizmet sorumlusu olarak kullanıldığında, Windows işletim sistemi yöneticiye güvenmek yerine hesabın parolasını yeniden yönetir.

Daha fazla bilgi için bkz . Grup tarafından yönetilen hizmet hesaplarına (gMSA) genel bakış.

Etki Alanı Hizmetleri'nde hizmet hesaplarını kullanma

Yönetilen etki alanları Kilitlendiğinden ve Microsoft tarafından yönetildiğinden, hizmet hesaplarını kullanırken dikkat edilmesi gereken bazı noktalar vardır:

• Yönetilen etki alanında özel kuruluş birimlerinde (OU) hizmet hesapları oluşturun.
  • Yerleşik AADDC Kullanıcıları veya AADDC Bilgisayarları OU'larında hizmet hesabı oluşturamazsınız.
  • Bunun yerine, yönetilen etki alanında özel bir OU oluşturun ve ardından bu özel OU'da hizmet hesapları oluşturun.
• Anahtar Dağıtım Hizmetleri (KDS) kök anahtarı önceden oluşturulmuştur.
  • KDS kök anahtarı, gMSA'lar için parola oluşturmak ve almak için kullanılır. Etki Alanı Hizmetleri'nde KDS kökü sizin için oluşturulur.
  • Başka bir tane oluşturma veya varsayılan KDS kök anahtarını görüntüleme ayrıcalığınız yoktur.

gMSA oluşturma

İlk olarak, New-ADOrganizationalUnit cmdlet'ini kullanarak özel bir OU oluşturun. Özel OU'ları oluşturma ve yönetme hakkında daha fazla bilgi için bkz . Etki Alanı Hizmetleri'nde Özel OU'lar.

Bahşiş

gMSA oluşturmak için bu adımları tamamlamak için yönetim VM'nizi kullanın. Bu yönetim VM'sinde zaten gerekli AD PowerShell cmdlet'leri ve yönetilen etki alanı bağlantısı olmalıdır.

Aşağıdaki örnek, aaddscontoso.com adlı yönetilen etki alanında myNewOU adlı özel bir OU oluşturur. Kendi OU'nuzu ve yönetilen etki alanı adınızı kullanın:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Şimdi New-ADServiceAccount cmdlet'ini kullanarak bir gMSA oluşturun. Aşağıdaki örnek parametreler tanımlanmıştır:

• -Name , WebFarmSvc olarak ayarlanır
• -Path parametresi, önceki adımda oluşturulan gMSA için özel OU'ları belirtir.
• DNS girişleri ve hizmet sorumlusu adları WebFarmSvc.aaddscontoso.com için ayarlanır
• AADDSCONTOSO-SERVER$ içindeki sorumluların parolayı almasına ve kimliği kullanmasına izin verilir.

Kendi adlarınızı ve etki alanı adlarınızı belirtin.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Uygulamalar ve hizmetler artık gerektiğinde gMSA kullanacak şekilde yapılandırılabilir.

Sonraki adımlar

gMSA'lar hakkında daha fazla bilgi için bkz . Grup tarafından yönetilen hizmet hesaplarını kullanmaya başlama.