Share via

委派受控服務帳戶概觀

  • 發行項

重要

Windows Server Insider 組建目前為「預覽」狀態。 這項資訊涉及發行前產品,在發行之前可能會有大幅修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

Windows Server Insiders Preview 導入了名為「委派受控服務帳戶」(dMSA) 的新帳戶類型,可從傳統服務帳戶移轉為使用受控且完全隨機化金鑰的電腦帳戶。 dMSA 的驗證會連結至裝置身分識別,這表示,僅限在 AD 中對應的指定電腦身分識別可存取帳戶。 使用 dMSA 有助於避免以遭到入侵帳戶收集認證 (kerberoasting),而該手法也是傳統服務帳戶的常見問題之一。

比較 dMSA 和 gMSA

dMSA 和 gMSA 是兩種不同類型的受控服務帳戶,兩者皆可用來在 Windows Server 中執行服務和應用程式。 dMSA 會受系統管理員管理,並用來在特定伺服器上執行服務或應用程式。 gMSA 則會由 AD 管理,並用來在多部伺服器上執行服務或應用程式。 兩者皆有助於提高安全性,並簡化密碼管理。 dMSA 的不同之處在於:

  • 善加利用 gMSA 概念,可透過 Credential Guard (CG) 繫結電腦驗證,藉此限制使用範圍。
  • CG 可用來自動輪替密碼並繫結所有服務帳戶票證,藉此強化 dMSA 中的安全性。 隨後則會停用舊版帳戶,以進一步提高安全性。
  • 雖然 gMSA 會透過電腦產生和自動輪替密碼等機制來確保安全,密碼仍舊不會與電腦繫結,且可能遭到竊取。

dMSA 的功能

dMSA 可供使用者建立為獨立帳戶,或取代現有的標準服務帳戶。 當 dMSA 取代現有帳戶時,使用現有帳戶密碼對其進行驗證的機制就會遭到封鎖。 該要求會重新導向至本機安全性授權 (LSA),以使用 dMSA 進行驗證,而 dMSA 可存取舊帳戶可在 AD 中存取的所有內容。

在移轉期間,dMSA 會自動了解使用服務帳戶的裝置,隨後則會使用該裝置來移動所有現有服務帳戶。

dMSA 會使用網域控制器 (DC) 持有以加密票證的隨機化密碼 (自電腦帳戶認證衍生而來)。 該密碼可透過啟用 CG 來提供進一步的保護。 雖然在 gMSA 等 Epoch 上,dMSA 使用的密碼會定期更新,主要差異在於:dMSA 的密碼無法在 DC 以外的任何位置擷取或找到。

dMSA 的移轉流程

若快速檢視 dMSA 的移轉流程概念,即可發現當中涉及以下步驟:

  1. 可設定 CG 原則,以保護電腦身分識別。
  2. 系統管理員開始並完成服務帳戶的移轉作業。
  3. 服務帳戶重新整理票證授權票證 (TGT)。
  4. 服務帳戶新增電腦身分識別,以允許原則。
  5. 原始服務帳戶遭到停用。

移轉 dMSA 時,請留意下列事項:

  • 您無法從受控服務帳戶或 gMSA 移轉至 dMSA。
  • 修改安全性描述元 (SD) 後,至少需等候兩個票證存留期 (等同 14 天),才能完成 dMSA 移轉。 建議讓服務保持在「開始」狀態達四個票證存留期 (28 天)。 如果您的 DC 進行分割或複寫在上線期間中斷,請延遲移轉。
  • 請留意複寫發生延遲,或超過預設票證更新時間 (10 小時) 的網站。 每一次進行票證更新,以及每當原始服務帳戶於「開始移轉」狀態期間登入時,都會檢查和更新 groupMSAMembership 屬性,而此舉會將電腦帳戶新增至 dMSA 的 groupMSAMembership
    • 舉例來說,有兩個網站使用相同的服務帳戶,而每個網站的複寫週期會超過每個票證存留期所規定的 10 小時。 在這個情況下,群組成員資格就會在初始複寫週期內遺失。
  • 移轉需存取讀寫網域控制站 (RWDC),以查詢和修改 SD。
  • 如果舊的服務帳號原先會使用該存取讀寫網域控制站,在移轉完成後,不受限制的委派就會停止運作。 如果您使用受 CG 保護的 dMSA,不受限制的委派就會停止運作。 若要深入了解,請參閱使用 Credential Guard 時的考量和已知問題

警告

如果要移轉至 dMSA,就必須更新使用服務帳戶的所有電腦,以支援 dMSA。 若未這麼做,當帳戶在移轉期間遭到停用時,不支援 dMSA 的電腦將無法使用現有服務帳戶進行驗證。

dMSA 的帳戶屬性

本節將說明 AD 結構描述中的 dMSA 屬性如何變更。 這些屬性可透過使用 [Active Directory 使用者及電腦] 嵌入式管理單元,或在 DC 上執行 [ADSI 編輯器] 等方式檢視。

注意

為帳戶設定的數值屬性代表不同的意思:

  • 1 - 帳戶移轉已開始。
  • 2 - 帳戶移轉已完成。

執行 Start-ADServiceAccountMigration 會執行下列變更:

  • 已將 dMSA 上所有屬性的 Generic Read 權限授與服務帳戶
  • 已將 msDS-groupMSAMembership 的 Write 屬性授與服務帳戶
  • msDS-DelegatedMSAState 已變更為 1
  • msDS-ManagedAccountPrecededByLink 已設為服務帳戶
  • msDS-SupersededAccountState 已變更為 1
  • msDS-SupersedManagedServiceAccountLink 已設為 dMSA

執行 Complete-ADServiceAccountMigration 會執行下列變更:

  • 已移除服務帳戶對 dMSA 上所有屬性的 Generic Read 權限
  • 已自 msDS-GroupMSAMembership 上的 Write 屬性移除服務帳戶
  • msDS-DelegatedMSAState 已設為 2
  • 服務主體名稱 (SPN) 已從服務帳戶複製至 dMSA 帳戶
  • msDS-AllowedToDelegateTo 已複製 (如果適用)
  • msDS-AllowedToActOnBehalfOfOtherIdentity 安全性描述元已複製 (如果適用)
  • 服務帳戶的指定 AuthN 原則 msDS-AssignedAuthnPolicy 已複製
  • dMSA 已新增至服務帳戶為隸屬成員的任何 AuthN 原則定址接收器
  • 受信任的「委派驗證」使用者帳戶控制 (UAC) 位元已複製 (如果已在服務帳戶上設定)
  • msDS-SupersededServiceAccountState 已設為 2
  • 服務帳戶已透過 UAC 停用位元停用
  • SPN 已從帳戶中移除

另請參閱

設定委派受控服務帳戶