Group Managed Service Accounts Overview
適用於 IT 專業人員的這篇文章透過描述實際的應用、Microsoft 實作的變更、硬體與軟體需求,說明群組受管理的服務帳戶 (gMSA)。
功能描述
獨立受管理的服務帳戶 (gMSA) 是受控網域帳戶,可提供自動密碼管理、簡化的服務主體名稱 (SPN) 管理,以及將管理委派給其他系統管理員的能力。 網域管理員可以將服務管理委派給服務管理員,以管理受管理的服務帳戶或群組受管理的服務帳戶的整個週期。 現有的用戶端電腦將能夠向任何這種服務進行驗證,而不需要知道它們向哪個服務執行個體進行驗證。 這種類型的受管理服務帳戶 (MSA) 是在 Windows Server 2008 R2 和 Windows 7 中引進的。
群組受管理的服務帳戶 (gMSA) 在網域中提供相同的功能,而且也在多部伺服器上延伸該功能。 這允許 Windows 處理這些帳戶的密碼管理,將服務帳戶的管理負擔降至最低。 當您連線到伺服器陣列上託管的服務時,例如「網路負載平衡」解決方案,支援相互驗證的驗證通訊協定會要求服務的所有執行個體都使用相同的主體。 當您使用 gMSA 作為服務主體時,Windows 作業系統會管理帳戶的密碼,而不會依賴系統管理員來管理密碼。
Microsoft 金鑰發佈服務 (kdssvc.dll) 可讓您使用 Active Directory 帳戶的金鑰識別碼,提供安全取得最新金鑰或特定金鑰的機制。 金鑰發佈服務共用一個用來建立帳戶金鑰的密碼。 這些金鑰會定期進行變更。 針對 gMSA,網域控制站會計算金鑰散發服務所提供的金鑰密碼,以及 gMSA 的其他屬性。 成員主機可以透過連絡網域控制站,取得目前以及前述的密碼值。
實際應用
gMSA 會針對在伺服器陣列上執行的服務,或網路負載平衡器後方系統上執行的服務,提供單一識別解決方案。 提供 gMSA 解決方案,您即可在 Windows 處理密碼管理時,設定新 gMSA 主體的服務。
當服務或服務管理員使用 gMSA 時,他們不需要管理服務執行個體之間的密碼同步。 gMSA 支援延長期間維持離線的主機,以及管理所有服務執行個體的成員主機。 您可以部署支援單一身分識別的伺服器陣列,其中現有的用戶端電腦可以驗證,而不需知道其所連線的服務執行個體。
儘管容錯移轉叢集不支援 gMSA,但在叢集服務上執行的服務可以使用 gMSA 或 sMSA (如果其為 Windows 服務、應用程式集區、排程工作,或是原生支援 gMSA 或 sMSA)。
軟體需求
若要執行管理 gMSA 所需的 Windows PowerShell 命令,您必須具有 64 位元架構。
受管理的服務帳戶取決於 Kerberos 支援的加密類型。 當用戶端電腦使用 Kerberos 向伺服器進行驗證時,DC 會建立受 DC 和伺服器支援的加密所保護的 Kerberos 服務票證。 DC 會使用帳戶的 msDS-SupportedEncryptionTypes 屬性來確定伺服器支援的加密。 如果沒有屬性,DC 會將用戶端電腦視為不支援更強大的加密類型。 如果您已將主機設定為不支援 RC4,則驗證一律會失敗。 基於這個理由,您應該一律為 MSA 設定 AES。
注意
從 Windows Server 2008 R2 開始,預設停用 DES。 如需受支援加密類型的詳細資訊,請參閱 Kerberos 驗證的變更。
注意
gMSA 不適用於早於 Windows Server 2012 的 Windows 作業系統。 在 Windows Server 2012,Windows PowerShell Cmdlet 預設為管理 gMSAs,而非伺服器受管理的服務帳戶。
伺服器管理員資訊
您不需要執行任何額外的設定,即可使用伺服器管理員或 Install-WindowsFeature Cmdlet 來實作 MSA 和 gMSA。
下一步
以下是您可閱讀的一些其他資源,以深入了解受管理的服務帳戶: