Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
BT uzmanlarına yönelik bu makalede pratik uygulamalar, Microsoft'un uygulamasındaki değişiklikler ve donanım ve yazılım gereksinimleri açıklanarak grup Yönetilen Hizmet Hesabı (gMSA) tanıtılıyor.
Özellik açıklaması
Tek başına Yönetilen Hizmet Hesabı (sMSA), otomatik parola yönetimi, basitleştirilmiş hizmet asıl adı (SPN) yönetimi ve yönetimi diğer yöneticilere devretme olanağı sağlayan yönetilen bir etki alanı hesabıdır. Etki alanı yöneticileri, bir Yönetilen Hizmet Hesabının veya grup Tarafından Yönetilen Hizmet Hesabının yaşam döngüsünün tamamını yönetebilen hizmet yöneticilerine hizmet yönetimi atayabilir. Mevcut istemci bilgisayarlar, kimlik doğrulaması yaptıkları hizmet örneğini bilmeden bu tür hizmetlerde kimlik doğrulaması yapabilir. Bu tür yönetilen hizmet hesabı (MSA), Windows Server 2008 R2 ve Windows 7'de kullanıma sunulmuştur.
Grup Yönetilen Hizmet Hesabı (gMSA), etki alanı içinde aynı işlevselliği sağlar ve aynı zamanda bu işlevselliği birden çok sunucuya genişletir. Bu, Windows'un bu hesaplar için parola yönetimini işlemesine izin vererek hizmet hesabının yönetim yükünü en aza indirir. Ağ Yükü Dengeli çözüm gibi bir sunucu grubunda barındırılan bir hizmete bağlandığınızda, karşılıklı kimlik doğrulamasını destekleyen kimlik doğrulama protokolleri tüm hizmet örneklerinin aynı sorumluyu kullanmasını gerektirir. Hizmet sorumlusu olarak gMSA kullandığınızda, Windows işletim sistemi parolayı yönetmek için yöneticiye güvenmek yerine hesabın parolasını yönetir.
Microsoft Anahtar Dağıtım Hizmeti (kdssvc.dll), bir Active Directory hesabı için anahtar tanımlayıcısı olan en son anahtarı veya belirli bir anahtarı güvenli bir şekilde edinmenizi sağlar. Anahtar Dağıtım Hizmeti, hesap için anahtar oluşturmakta kullanılan bir gizli bilgiyi paylaşır. Bu anahtarlar düzenli aralıklarla değişir. Bir gMSA için, etki alanı denetleyicisi parolayı Anahtar Dağıtım Hizmetleri'nin sağladığı anahtar üzerinde ve gMSA'nın diğer öznitelikleriyle birlikte hesaplar. Üye konakları, bir etki alanı denetleyicisine başvurarak geçerli ve önceki parola değerlerini alabilir.
Pratik uygulamalar
gMSA'lar, bir sunucu grubunda veya Ağ Yük Dengeleyici'nin arkasındaki sistemlerde çalışan hizmetler için tek bir kimlik çözümü sağlar. Bir gMSA çözümü sağlayarak, Windows parola yönetimini işlerken yeni gMSA sorumlusu için hizmetleri yapılandırabilirsiniz.
Hizmetler veya hizmet yöneticileri gMSA kullandığında, hizmet örnekleri arasında parola eşitlemesini yönetmeleri gerekmez. gMSA, uzun süre çevrimdışı tutulan konakları destekler ve bir hizmetin tüm örnekleri için üye konakları yönetir. Mevcut istemci bilgisayarların hangi hizmet örneğine bağlandıklarını bilmek zorunda kalmadan kimlik doğrulaması yapabilecekleri tek bir kimliği destekleyen bir sunucu grubu dağıtabilirsiniz.
Yük devretme kümeleri gMSA'lar için destek sağlamasa da, Küme hizmetinde çalışan hizmetler bir Windows hizmeti, uygulama havuzu, zamanlanmış görev veya yerel olarak gMSA veya sMSA'yı destekliyorsa gMSA veya sMSA kullanabilir.
Yazılım gereksinimleri
gMSA'ları yönetmek için gereken Windows PowerShell komutlarını çalıştırmak üzere, 64-bit mimariye sahip olmalısınız.
Yönetilen hizmet hesabı, Kerberos tarafından desteklenen şifreleme türlerine bağlıdır. İstemci bilgisayar Kerberos kullanarak bir sunucuda kimlik doğrulaması yaparken, DC hem DC'nin hem de sunucunun desteklediği şifrelemeyle korunan bir Kerberos hizmet bileti oluşturur. DC, sunucunun hangi şifrelemeyi desteklediğini belirlemek için hesabın msDS-SupportedEncryptionTypes özniteliğini kullanır. Bir öznitelik yoksa DC, istemci bilgisayara daha güçlü şifreleme türlerini desteklemiyor gibi davranır. Konağı RC4'i desteklememek üzere yapılandırdıysanız kimlik doğrulaması her zaman başarısız olur. Bu nedenle, AES'yi her zaman MSA'lar için yapılandırmanız gerekir.
Not
Windows Server 2008 R2 itibarıyla DES varsayılan olarak devre dışıdır. Desteklenen şifreleme türleri hakkında daha fazla bilgi için bkz. Kerberos Kimlik Doğrulaması'nda Değişiklikler.
Not
gMSA'lar, Windows Server 2012'den önceki Windows işletim sistemleri için geçerli değildir. Windows Server 2012 için, Windows PowerShell cmdlet'leri varsayılan olarak sunucu Yönetilen Hizmet Hesapları yerine gMSA'ları yönetir.
Sunucu Yöneticisi bilgileri
Sunucu Yöneticisi'ni veya Install-WindowsFeature cmdlet'ini kullanarak MSA ve gMSA uygulamak için ek yapılandırma yapmanız gerekmez.
Sonraki adımlar
Yönetilen Hizmet Hesapları hakkında daha fazla bilgi edinmek için okuyabileceğiniz diğer bazı kaynaklar şunlardır:
- Windows 7 ve Windows Server 2008 R2 için Yönetilen Hizmet Hesapları Belgeleri
- Hizmet Hesapları Adım Adım Kılavuz
- Grup Tarafından Yönetilen Hizmet Hesaplarını Yönetme
- Active Directory Domain Hizmetleri'nde Yönetilen Hizmet Hesapları
- Yönetilen Hizmet Hesapları: Anlama, Uygulama, En İyi Yöntemler ve Sorun Giderme
- Active Directory Etki Alanı Hizmetlerine Genel Bakış