Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Windows Server 2025'te, geleneksel bir hizmet hesabından yönetilen ve tamamen rastgele anahtarlara sahip bir makine hesabına geçişe izin verirken özgün hizmet hesabı parolalarını devre dışı bırakmaya olanak tanıyan, yönetilen Yönetilen Hizmet Hesabı (dMSA) olarak bilinen yeni bir hesap türü sunulmuştur. dMSA kimlik doğrulaması cihaz kimliğine bağlıdır, yani yalnızca Active Directory'de (AD) eşlenen belirtilen makine kimlikleri hesaba erişebilir. dMSA kullanmak, güvenliği aşılmış bir hesap (kerberoasting) kullanarak kimlik bilgilerinin toplanmasını önlemeye yardımcı olur. Bu, geleneksel hizmet hesaplarında sık karşılaşılan bir sorundur.
dMSA ve gMSA karşılaştırması
dMSA'lar ve gMSA'lar, Windows Server'da hizmetleri ve uygulamaları çalıştırmak için kullanılan iki tür yönetilen hizmet hesabıdır. dMSA bir yönetici tarafından yönetilir ve belirli bir sunucuda hizmet veya uygulama çalıştırmak için kullanılır. GMSA, AD tarafından yönetilir ve birden çok sunucuda bir hizmeti veya uygulamayı çalıştırmak için kullanılır. Her ikisi de gelişmiş güvenlik ve basitleştirilmiş parola yönetimi sunar. dMSA şunlara göre farklılık gösterir:
- Makine kimlik doğrulamasını bağlamak için Credential Guard (CG) kullanarak kullanım kapsamını sınırlamak için gMSA kavramlarını kullanma.
- CG, parolaları otomatik olarak döndürerek ve tüm hizmet hesabı biletlerini bağlayarak dMSA'da güvenliği artırmak için kullanılabilir. Daha sonra güvenliği daha da geliştirmek için eski hesaplar devre dışı bırakılır.
- gMSA'ların güvenliği makine tarafından oluşturulan ve otomatik olarak değiştirilebilir parolalarla sağlansa da, parolalar hala makineye bağlı değildir ve çalınabilir.
dMSA işlevselliği
dMSA, kullanıcıların bunları tek başına bir hesap olarak oluşturmasına veya mevcut standart hizmet hesabını değiştirmesine olanak tanır. Bir dMSA mevcut hesabın yerine geçtiğinde, mevcut hesabın parolasını kullanarak kimlik doğrulaması engellenir. İstek, önceki hesabın AD'de erişebileceği her şeye erişimi olan dMSA kullanılarak kimlik doğrulaması yapmak için Yerel Güvenlik Yetkilisi'ne (LSA) yönlendirilir.
Geçiş sırasında dMSA, kullanılacak hizmet hesabının bulunduğu cihazları otomatik olarak öğrenir ve ardından mevcut tüm hizmet hesaplarından taşınmak için kullanılır.
dMSA, Etki Alanı Denetleyicisi (DC) tarafından tutulan ve makine hesabı kimlik bilgisinden türetilen rastgele bir sır kullanarak biletleri şifreler. Gizli bilgi, CG etkinleştirilerek daha fazla korunabilir. dMSA'nın kullandığı gizli anahtarlar, gMSA gibi bir dönem üzerinde periyodik olarak güncellenmekle birlikte, ana fark dMSA'nın gizli anahtarlarının DC dışında erişilemez veya bulunamaz olmasıdır.
dMSA için geçiş akışı
DMSA için geçiş akışı sürecine ilişkin hızlı bir kavram aşağıdaki adımları içerir:
- CG ilkesi, makine kimliğini korumak için yapılandırılabilir.
- Yönetici, hizmet hesabının geçişini başlatır ve tamamlar.
- Hizmet hesabı Bilet Verme Sunucusu'nu (TGT) yeniler.
- Hizmet hesabı ilkelere izin vermek için makine kimliğini ekler.
- Özgün hizmet hesabı devre dışı bırakılır.
dMSA'ları taşırken aşağıdaki hususlara dikkat edin:
- Yönetilen hizmet hesabından veya gMSA'dan dMSA'ya geçiş yapamazsınız.
- Güvenlik Tanımlayıcısı'nı (SD) değiştirdikten sonra en az iki bilet ömrü (bu da 14 güne eşdeğerdir) bekleyin ve ardından dMSA geçişini tamamlayın. Bir hizmetin dört bilet ömrü boyunca (28 gün) başlangıç durumunda tutulması önerilir. DC'leriniz bölümlenmişse veya ekleme sırasında çoğaltma bozulursa geçişi geciktirin.
- Çoğaltma gecikmelerinin varsayılan bilet yenileme süresi olan 10 saatten uzun olduğu sitelere dikkat edin.
groupMSAMembership özniteliği, her bilet yenilemesinde ve "geçişi başlat" durumunda özgün hizmet hesabı her oturum açtığında denetlenir ve güncelleştirilir ve bu da makine hesabını dMSA'nın groupMSAMembership grubuna ekler.
- Örneğin, iki site aynı hizmet hesabını kullanır ve her çoğaltma döngüsü bilet ömrü başına 10 saatten fazla sürer. Bu senaryoda, ilk çoğaltma döngüleri sırasında bir grup üyeliği kaybolur.
- Geçiş, SD'yi sorgulamak ve değiştirmek için bir Read-Write Etki Alanı Denetleyicisi'ne (RWDC) erişim gerektirir.
- Eski hizmet hesabı tarafından kullanılıyorsa, geçiş tamamlandıktan sonra sınırsız yetkilendirme çalışmayı durdurur. CG tarafından korunan bir dMSA kullanıyorsanız, sınırsız yetki devri çalışmaz. Daha fazla bilgi edinmek için bkz . Credential Guard kullanırken dikkat edilmesi gerekenler ve bilinen sorunlar.
Warning
Bir dMSA'ya geçiş yapacaksanız, hizmet hesabını kullanan tüm makinelerin dMSA'yı destekleyecek şekilde güncelleştirilmiş olması gerekir. Bu doğru değilse, dMSA'yı desteklemeyen makineler, geçiş sırasında hesap devre dışı bırakıldıktan sonra mevcut hizmet hesabıyla kimlik doğrulaması başarısız olur.
dMSA için hesap öznitelikleri
Bu bölümde, dMSA özniteliklerinin AD şemasında nasıl değiştiği açıklanmaktadır. Bu öznitelikler Active Directory Kullanıcıları ve Bilgisayarları ek bileşeni kullanılarak veya DC'de ADSI Düzenleme çalıştırılarak görüntülenebilir.
Note
Hesap için ayarlanan sayısal öznitelikler aşağıdakileri gösterir:
- 1 - Hesap geçişi başladı.
- 2 - Hesap geçişi tamamlandı.
Komutunu çalıştırmak Start-ADServiceAccountMigration aşağıdaki değişiklikleri gerçekleştirir:
- Hizmet hesabına dMSA'da tüm özellikler için Genel Okuma izni verilir
- Hizmet hesabına msDS-groupMSAMembership için Write özelliği verilir
- msDS-DelegatedMSAState 1 olarak değiştirildi
- msDS-ManagedAccountPrecededByLink hizmet hesabına ayarlandı
- msDS-SupersededAccountState 1 olarak değiştirildi
- msDS-SupersededManagedServiceAccountLink , dMSA olarak ayarlandı
Komutunu çalıştırmak Complete-ADServiceAccountMigration aşağıdaki değişiklikleri gerçekleştirir:
- Hizmet hesabı Genel Okuma'dan dMSA'nın tüm özelliklerine kaldırılır
- Hizmet hesabı msDS-GroupMSAMembership özniteliğindeki Write özelliğinden kaldırılır
- msDS-DelegatedMSAState 2 olarak ayarlandı
- Hizmet Asıl Adları (SPN) hizmet hesabından dMSA hesabına kopyalanır
- msDS-AllowedToDelegateTo varsa üzerine kopyalanır
- msDS-AllowedToActOnBehalfOfOtherIdentity güvenlik tanımlayıcısı varsa üzerine kopyalanır
- Hizmet hesabının atanan AuthN ilkesi olan msDS-AssignedAuthnPolicy kopyalanır
- dMSA, hizmet hesabının üyesi olduğu tüm AuthN ilkesi silolarına eklenir
- Güvenilen "Delegasyon için Kimlik Doğrulama" Kullanıcı Hesabının Denetimi (UAC) biti, hizmet hesabında ayarlandıysa kopyalanır.
- msDS-SupersededServiceAccountState 2 olarak ayarlandı
- Hizmet hesabı UAC devre dışı bırakma biti ile etkisizleştirildi.
- SPN'ler hesaptan kaldırılır
dMSA alanları
Bölgeler, etki alanları veya ormanlar arasında farklı AD sürümleri tümleştirilirken yaygın olarak kullanılan kimlik doğrulama sınırlarını tanımlayan mantıksal gruplandırmalar görevi görür. Bunlar özellikle bazı etki alanlarının dMSA'nın tüm özelliklerini tam olarak desteklemeyebileceği karma etki alanı ortamlarında önemlidir. DMSA, bölge belirterek etki alanları arasında doğru iletişim ve kimlik doğrulama akışı sağlayabilir.
Yöneticiler, hangi etki alanlarının veya dizin bileşenlerinin dMSA hesabının kimliğini doğrulayıp erişebileceğini belirtmek için bölgelerini kullanabilir. Bu, dMSA özelliklerini yerel olarak desteklemeyen daha eski alt etki alanlarının bile güvenlik sınırlarını korurken hesaplarla etkileşim kurabilmesini sağlar. Alanlar, karma ortamlarda sorunsuz geçişleri ve özelliklerin bir arada bulunmasını kolaylaştırarak alanlar arasında uyumluluk sağlarken, etkinleştirildiğinde güçlü bir güvenlik sunar.
Örneğin, Windows Server 2025'te çalışan adlı corp.contoso.com birincil etki alanınız ve Windows Server 2022 çalıştıran adlı legacy.corp.contoso.com daha eski bir alt etki alanınız varsa, bölge legacy.corp.contoso.comolarak belirtebilirsiniz.
Ortamınız için bu grup ilkesi ayarını düzenlemek için aşağıdaki yola gidin:
Bilgisayar Yapılandırması\Yönetim Şablonları\System\Kerberos\Temsilci Yönetilen Hizmet Hesabı oturum açmalarını etkinleştirme
