設定委派的受控服務帳戶

委派的受控服務帳戶 （dMSA） 是一個 Active Directory （AD） 帳戶，可安全地管理認證。 不同於傳統服務帳戶，dMSA 不需要手動管理密碼，因為 AD 會自動管理密碼，確保密碼保持安全。 此外，dMSA 可以委派特定許可權來存取網域中的資源，以提供有效率的方式來管理訪問控制。 設定 dMSA 目前僅適用於 Windows Server 預覽版。

必要條件

• Active Directory 網域服務 角色必須安裝在您的裝置或任何裝置上，如果使用遠端管理工具。 若要了解詳細資訊，請參閱安裝或解除安裝角色、角色服務或功能。
• 安裝角色之後，您的裝置必須升級為域控制器（DC）。 在 伺服器管理員 中，旗標圖示會顯示新的通知，選取 [將此伺服器升級至域控制器]，然後完成必要的步驟。
• 在用戶端裝置的組策略物件中，必須在計算機設定\管理員 istrative Templates\System\Kerberos 路徑中啟用 Kerberos。

遷移至 dMSA

如果移轉至 dMSA 的服務帳戶可以存取多部伺服器，必須先套用登錄原則，以確保其預設為 DC。 使用 dMSA 登入之後，請執行：

New-ItemProperty
 -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" 
 -Name "DelegatedMSAEnabled"
 -Value "1"
 -PropertyType DWORD
 -Force

變更登錄之後，您可以執行下列命令，將服務帳戶連結至 dMSA：

Start-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>

鏈接帳戶之後，必須藉由執行來重新啟動帳戶的目前執行服務：

Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service

然後，確認已 設定 dMSA 物件的 PrincipalsAllowedToRetrieveManagedPassword 屬性：

Get-ADServiceAccount -Identity <DMSAName> -Properties PrincipalsAllowedToRetrieveManagedPassword

注意

如果服務帳戶連線到多個裝置且移轉已結束， PrincipalsAllowedToRetrieveManagedPassword 必須手動更新。

完成帳戶移轉

警告

完成移轉時， 若需要還原回原始服務帳戶，則請勿 刪除該帳戶，因為這會造成數個問題。

若要完成帳戶移轉，必須停用傳統服務帳戶，以確保所有服務都透過執行下列方式使用 dMSA：

Complete-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>

如果移轉錯誤的帳戶，請執行下列命令，以復原移轉期間的所有步驟：

Undo-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>

若要將服務帳戶還原回非使用中或未連結的狀態，請執行：

Reset-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>

建立 dMSA

若要建立新的 dMSA，請以系統管理員身分開啟 PowerShell 並執行：

New-ADServiceAccount -Name <DMSAName> -DNSHostName <host> -CreateDelegatedServiceAccount -KerberosEncryptionType AES256

若要深入瞭解 New-ADServiceAccount 和相關 Cmdlet，請參閱 New-ADServiceAccount。

檢視 dMSA 事件記錄檔

您可以執行下列動作，使用 事件檢視器 檢視事件（eventvwr.exe）：

1. 以滑鼠右鍵按兩下 [開始]，然後選取 [事件檢視器]。
2. 在左窗格中，展開 [應用程式和服務 ]，然後流覽至 Microsoft\Windows\Security-Kerberos\Operational。
3. 默認會停用此提供者的記錄，若要啟用記錄，請以滑鼠右鍵按兩下 [作業]，然後選取 [啟用記錄]。

下表描述這些擷取的事件。

事件識別碼	描述
307	dMSA 移轉 - 此事件是針對移轉下的 dMSA 和已移轉的 dMSA 所撰寫。 其中包含舊服務帳戶和新 dMSA 的相關信息。
308	dMSA 許可權新增 - 當計算機嘗試在移轉期間擷取 dMSA 的受管理密碼字段時，會記錄此事件。
309	dMSA 金鑰擷取 - 當 Kerberos 用戶端嘗試從域控制器擷取 dMSA 的金鑰時，就會記錄此事件。

另請參閱

• Complete-ADServiceAccountMigration
• Reset-ADServiceAccountMigration
• Start-ADServiceAccountMigration
• Undo-ADServiceAccountMigration