Vytvoření skupinového účtu spravované služby (gMSA) ve službě Microsoft Entra Domain Services

Aplikace a služby často potřebují identitu, aby se ověřily v jiných prostředcích. Webová služba se může například muset ověřit pomocí databázové služby. Pokud má aplikace nebo služba více instancí, například farmu webových serverů, ruční vytváření a konfigurace identit pro tyto prostředky je časově náročné.

Místo toho je možné vytvořit skupinový účet spravované služby (gMSA) ve spravované doméně Microsoft Entra Domain Services. Operační systém Windows automaticky spravuje přihlašovací údaje pro gMSA, což zjednodušuje správu velkých skupin prostředků.

V tomto článku se dozvíte, jak vytvořit gMSA ve spravované doméně pomocí Azure PowerShellu.

Než začnete

K dokončení tohoto článku potřebujete následující prostředky a oprávnění:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružte předplatné Azure k vašemu účtu.
• Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
  • V případě potřeby dokončete kurz a vytvořte a nakonfigurujte spravovanou doménu služby Microsoft Entra Domain Services.
• Virtuální počítač pro správu Windows Serveru, který je připojený ke spravované doméně Domain Services.
  • V případě potřeby dokončete kurz a vytvořte virtuální počítač pro správu.

Přehled účtů spravované služby

Samostatný účet spravované služby (sMSA) je účet domény, jehož heslo se spravuje automaticky. Tento přístup zjednodušuje správu hlavního názvu služby (SPN) a umožňuje delegovanou správu jiným správcům. Přihlašovací údaje k účtu nemusíte vytvářet a obměňovat ručně.

Skupinový účet spravované služby (gMSA) poskytuje stejné zjednodušení správy, ale pro více serverů v doméně. GMSA umožňuje, aby všechny instance služby hostované na serverové farmě používaly stejný instanční objekt pro fungování protokolů vzájemného ověřování. Když se jako instanční objekt použije gMSA, operační systém Windows znovu spravuje heslo účtu místo toho, aby se spoléhal na správce.

Další informace najdete v přehledu skupinových účtů spravovaných služeb (gMSA).

Používání účtů služeb ve službě Domain Services

Vzhledem k tomu, že spravované domény jsou uzamčené a spravované Microsoftem, při používání účtů služeb je potřeba vzít v úvahu některé aspekty:

• Vytvořte účty služeb ve vlastních organizačních jednotkách (OU) ve spravované doméně.
  • Nemůžete vytvořit účet služby v předdefinovaných organizačních jednotkách AADDC Users nebo AADDC Computers .
  • Místo toho vytvořte vlastní organizační jednotky ve spravované doméně a pak vytvořte účty služeb v této vlastní organizační jednotky.
• Kořenový klíč služby KDS (Key Distribution Services) je předem vytvořen.
  • Kořenový klíč KDS slouží ke generování a načítání hesel pro gMSA. Ve službě Domain Services se pro vás vytvoří kořenový adresář KDS.
  • Nemáte oprávnění k vytvoření jiného nebo zobrazení výchozího kořenového klíče KDS.

Vytvoření gMSA

Nejprve vytvořte vlastní organizační jednotka pomocí rutiny New-ADOrganizationalUnit . Další informace o vytváření a správě vlastních organizačních jednotek najdete v tématu Vlastní organizační jednotky ve službě Domain Services.

Tip

K provedení těchto kroků vytvořte gMSA pomocí virtuálního počítače pro správu. Tento virtuální počítač pro správu by už měl mít požadované rutiny AD PowerShellu a připojení ke spravované doméně.

Následující příklad vytvoří vlastní organizační jednotky s názvem myNewOU ve spravované doméně s názvem aaddscontoso.com. Použijte vlastní organizační jednotky a název spravované domény:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Teď vytvořte gMSA pomocí rutiny New-ADServiceAccount . Jsou definovány následující ukázkové parametry:

• -Name je nastavený na WebFarmSvc.
• Parametr -Path určuje vlastní organizační jednotky gMSA vytvořené v předchozím kroku.
• Položky DNS a hlavní názvy služby jsou nastavené pro WebFarmSvc.aaddscontoso.com
• Objekty zabezpečení v AADDSCONTOSO-SERVER$ můžou načíst heslo a používat identitu.

Zadejte vlastní názvy a názvy domén.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Aplikace a služby je teď možné nakonfigurovat tak, aby podle potřeby používaly gMSA.

Další kroky

Další informace o gMSAs naleznete v tématu Začínáme se skupinami spravovanými účty služby.