設定委派的受控服務帳戶
委派的受控服務帳戶 (dMSA) 是一個 Active Directory (AD) 帳戶,可安全地管理認證。 不同於傳統服務帳戶,dMSA 不需要手動管理密碼,因為 AD 會自動管理密碼,確保密碼保持安全。 此外,dMSA 可以委派特定許可權來存取網域中的資源,以提供有效率的方式來管理訪問控制。 設定 dMSA 目前僅適用於 Windows Server 預覽版。
必要條件
- Active Directory 網域服務 角色必須安裝在您的裝置或任何裝置上,如果使用遠端管理工具。 若要了解詳細資訊,請參閱安裝或解除安裝角色、角色服務或功能。
- 安裝角色之後,您的裝置必須升級為域控制器(DC)。 在 伺服器管理員 中,旗標圖示會顯示新的通知,選取 [將此伺服器升級至域控制器],然後完成必要的步驟。
- 在用戶端裝置的組策略物件中,必須在計算機設定\管理員 istrative Templates\System\Kerberos 路徑中啟用 Kerberos。
遷移至 dMSA
如果移轉至 dMSA 的服務帳戶可以存取多部伺服器,必須先套用登錄原則,以確保其預設為 DC。 使用 dMSA 登入之後,請執行:
New-ItemProperty
-Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
-Name "DelegatedMSAEnabled"
-Value "1"
-PropertyType DWORD
-Force
變更登錄之後,您可以執行下列命令,將服務帳戶連結至 dMSA:
Start-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>
鏈接帳戶之後,必須藉由執行來重新啟動帳戶的目前執行服務:
Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
然後,確認已 設定 dMSA 物件的 PrincipalsAllowedToRetrieveManagedPassword 屬性:
Get-ADServiceAccount -Identity <DMSAName> -Properties PrincipalsAllowedToRetrieveManagedPassword
注意
如果服務帳戶連線到多個裝置且移轉已結束, PrincipalsAllowedToRetrieveManagedPassword 必須手動更新。
完成帳戶移轉
警告
完成移轉時, 若需要還原回原始服務帳戶,則請勿 刪除該帳戶,因為這會造成數個問題。
若要完成帳戶移轉,必須停用傳統服務帳戶,以確保所有服務都透過執行下列方式使用 dMSA:
Complete-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>
如果移轉錯誤的帳戶,請執行下列命令,以復原移轉期間的所有步驟:
Undo-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>
若要將服務帳戶還原回非使用中或未連結的狀態,請執行:
Reset-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>
建立 dMSA
若要建立新的 dMSA,請以系統管理員身分開啟 PowerShell 並執行:
New-ADServiceAccount -Name <DMSAName> -DNSHostName <host> -CreateDelegatedServiceAccount -KerberosEncryptionType AES256
若要深入瞭解 New-ADServiceAccount
和相關 Cmdlet,請參閱 New-ADServiceAccount。
檢視 dMSA 事件記錄檔
您可以執行下列動作,使用 事件檢視器 檢視事件(eventvwr.exe):
- 以滑鼠右鍵按兩下 [開始],然後選取 [事件檢視器]。
- 在左窗格中,展開 [應用程式和服務 ],然後流覽至 Microsoft\Windows\Security-Kerberos\Operational。
- 默認會停用此提供者的記錄,若要啟用記錄,請以滑鼠右鍵按兩下 [作業],然後選取 [啟用記錄]。
下表描述這些擷取的事件。
事件識別碼 | 描述 |
---|---|
307 | dMSA 移轉 - 此事件是針對移轉下的 dMSA 和已移轉的 dMSA 所撰寫。 其中包含舊服務帳戶和新 dMSA 的相關信息。 |
308 | dMSA 許可權新增 - 當計算機嘗試在移轉期間擷取 dMSA 的受管理密碼字段時,會記錄此事件。 |
309 | dMSA 金鑰擷取 - 當 Kerberos 用戶端嘗試從域控制器擷取 dMSA 的金鑰時,就會記錄此事件。 |