Freigeben über

Erste Schritte mit gruppenverwalteten Dienstkonten

In diesem Artikel erfahren Sie, wie Sie gruppenverwaltete Dienstkonten in Windows Server aktivieren und verwenden.

Authentifizierungsprotokolle, die eine gegenseitige Authentifizierung unterstützen, wie z. B. Kerberos, können nur verwendet werden, wenn alle Instanzen der Dienste denselben Principal verwenden. Wenn beispielsweise ein Client-Computer eine Verbindung zu einem Dienst herstellt, der Lastausgleich oder eine andere Methode verwendet, bei der alle Server für den Client als derselbe Dienst erscheinen. Wenn beispielsweise ein Client-Computer eine Verbindung zu einem Dienst herstellt, der Lastausgleich oder eine andere Methode verwendet, bei der alle Server für den Client als derselbe Dienst erscheinen. Gruppenverwaltete Servicekonten (Group Managed Service Accounts, gMSA) sind eine Art von Konto, das mit mehreren Servern verwendet werden kann. Ein gMSA ist ein Domänenkonto, mit dem Sie Dienste auf mehreren Servern ausführen können, ohne das Passwort verwalten zu müssen. Der gMSA bietet eine automatische Passwortverwaltung und eine vereinfachte Verwaltung von Dienstprinzipalnamen (SPN), einschließlich der Delegation der Verwaltung an andere Administratoren.

Hinweis

Failovercluster unterstützen keine gruppenverwalteten Dienstkonten. Dienste, die oben im Clusterdienst ausgeführt werden, können jedoch ein gMSA oder sMSA verwenden, wenn sie ein Windows-Dienst, ein App-Pool, eine geplante Aufgabe oder gMSA oder sMSA systemeigen unterstützen.

Dienste können den zu verwendenden Principal wählen. Jeder Principal-Typ unterstützt unterschiedliche Dienste und hat unterschiedliche Grenzwerte.

Principals Unterstützte Dienste Kennwortverwaltung
Computerkonto von Windows-System Auf einen mit einer Domäne verbundenen Server Vom Computer verwaltet
Computerkonto ohne Windows-System Jeder mit einer Domäne verbundene Server Keine
Virtuelles Konto Auf einen Server begrenzt Vom Computer verwaltet
Eigenständiges Windows Managed Service-Konto Auf einen mit einer Domäne verbundenen Server Vom Computer verwaltet
Benutzerkonto Jeder mit einer Domäne verbundene Server Keine
Gruppenverwaltetes Dienstkonto Jeder mit einer Windows Server-Domäne verbundene Server Der Domänencontroller verwaltet, und der Host ruft ab

Ein Windows-Computerkonto, ein Windows Standalone Managed Service Account (sMSA) oder virtuelle Konten können nicht über mehrere Systeme hinweg gemeinsam genutzt werden. Wenn Sie virtuelle Konten verwenden, ist die Identität auch lokal auf dem Rechner und wird von der Domäne nicht erkannt. Wenn Sie ein Konto für Dienste auf freizugebenden Serverfarmen konfigurieren, müssten Sie getrennt vom Windows-System ein Benutzer- oder Computerkonto auswählen. In jedem Fall haben diese Konten nicht die Möglichkeit einer zentralen Passwortverwaltung. Ohne Passwortverwaltung muss jedes Unternehmen die Schlüssel für den Dienst in Active Directory aktualisieren und diese Schlüssel an alle Instanzen dieser Dienste verteilen.

Mit Windows Server müssen Dienste und Dienstadministratoren die Passwortsynchronisierung zwischen Dienstinstanzen nicht verwalten, wenn sie gMSA verwenden. Sie erstellen die gMSA in Active Directory und konfigurieren dann den Dienst, der verwaltete Dienstkonten unterstützt. Die Verwendung des gMSA ist auf alle Computer ausgerichtet, die LDAP zum Abrufen der Anmeldeinformationen des gMSA verwenden können. Sie können eine gMSA mit den New-ADServiceAccount cmdlets erstellen, die Teil des Active Directory-Moduls sind. Die folgenden Dienste unterstützen die Konfiguration der Dienstidentität auf dem Host.

  • Dieselben APIs wie sMSA. Produkte, die sMSA unterstützen, unterstützen also auch gMSA.

  • Dienste, die Service Control Manager zur Konfiguration der Anmeldeidentität verwenden

  • Dienste, die den IIS-Manager für Anwendungspools zur Konfiguration der Identität verwenden

  • Aufgaben mithilfe der Aufgabenplanung.

Voraussetzungen

Die folgende Tabelle führt die Betriebssystemanforderungen auf, damit die Kerberos-Authentifizierung mit Diensten mithilfe von gMSA funktioniert. Die Active Directory-Anforderungen sind im Anschluss an die Tabelle aufgeführt.

Zum Ausführen der Windows PowerShell-Befehle ist eine 64-Bit-Architektur erforderlich, die zum Verwalten von gMSA verwendet werden.

Betriebssystem

Element Anforderung
Host der Clientanwendung RFC-konformer Kerberos-Client
Domänencontroller für Domäne des Benutzerkontos RFC-konformer KDC
Mitgliederhosts für freigegebene Dienste
Domänencontroller für Domäne des Mitgliedhosts RFC-konformer KDC
Domänencontroller für Domäne des gMSA-Kontos Für den Host zum Abrufen des Kennworts verfügbare Windows Server 2012-Domänencontroller
Back-End-Diensthost RFC-konformer Kerberos-Anwendungsserver
Domänencontroller für Domäne des Back-End-Dienstkontos RFC-konformer KDC
Windows PowerShell für Active Directory Die Active Directory Domain Services Remoteserver Verwaltungstools

Active Directory Domain Services

Für gruppenverwaltete Dienstkonten gelten in Active Directory Domain Services (AD DS) die folgenden Anforderungen.

  • Die Funktionsstufe der Active Directory Domain und Forest muss Windows Server 2012 oder höher sein. Um mehr über die Aktualisierung des Schemas zu erfahren, lesen Sie bitte Vorgehensweise beim Anheben der Funktionsstufen von Active Directory Domains und Forests.

  • Wenn Sie die Berechtigung des Service-Hosts zur Verwendung von gMSA nach Gruppe verwalten, dann neue oder bestehende Sicherheitsgruppe.

  • Wenn Sie die Zugriffskontrolle für Dienste nach Gruppen verwalten, dann wählen Sie eine neue oder bestehende Sicherheitsgruppe.

  • Der KDS-Stammschlüssels der Schlüsselverteilungsdienste für Active Directory muss in der Domäne erstellt werden. Das Ergebnis der Erstellung kann im KdsSvc-Betriebsprotokoll überprüft werden, Event ID 4004. Um mehr über die Erstellung des KDS-Stammschlüssels kdssvc.dll zu erfahren, siehe Erstellen des KDS-Stammschlüssels der Schlüsselverteilungsdienste.

Bereitstellen einer neuen Serverfarm

Der Lebenszyklus einer Serverfarm, die das gMSA-Feature verwendet, umfasst für gewöhnlich folgende Aufgaben:

  • Bereitstellen einer neuen Serverfarm

  • Hinzufügen von Mitgliedshosts zu einer vorhandenen Serverfarm

  • Außerbetriebsetzung von Mitgliedshosts in einer vorhandenen Serverfarm

  • Außerbetriebsetzung einer vorhandenen Serverfarm

  • Entfernen eines kompromittierten Mitgliedshosts aus einer Serverfarm, falls erforderlich

Wenn der Service-Administrator eine neue Serverfarm bereitstellt, muss er die folgenden Informationen ermitteln.

  • Der Dienst unterstützt die Verwendung von gMSAs

  • Der Dienst erfordert eingehende oder ausgehende authentifizierte Verbindungen

  • Die Computerkontennamen für die Mitgliedhosts für den Dienst mithilfe des gMSAs

  • Den NetBIOS-Namen für den Dienst

  • Den DNS-Hostnamen für den Dienst

  • Die Dienstprinzipalnamen für den Dienst

  • Das Intervall für die Änderung des Passworts (Standard ist 30 Tage)

Erstellen von gruppenverwalteten Servicekonten

Sie können eine gMSA nur erstellen, wenn das Forest-Schema Windows Server 2012 oder höher ist. Sie müssen auch den KDS-Stammschlüssel für Active Directory bereitstellen und mindestens einen Windows Server 2012 oder neueren Domänencontroller in der Domäne haben, in der Sie eine gMSA erstellen möchten.

Wichtig

gMSA-Kontonamen müssen innerhalb einer Forest-Ebene und nicht nur innerhalb einer Domäne eindeutig sein. Der Versuch, ein gMSA-Konto mit einem duplizierten Namen zu erstellen, schlägt fehl, selbst in verschiedenen Domänen.

Die Mitgliedschaft in Domänenadministratoren oder die Fähigkeit zum Erstellen von msDS-GroupManagedServiceAccount-Objekten ist die Mindestvoraussetzung, um die folgenden Verfahren abzuschließen.

Um eine gMSA mit PowerShell zu erstellen, gehen Sie folgendermaßen vor.

  1. Führen Sie auf dem Windows Server 2012-Domänencontroller die Windows PowerShell über die Taskleiste aus.

  2. Geben Sie an der Befehlszeile für die Windows PowerShell die folgenden Befehle ein, und drücken Sie die EINGABETASTE: (Das Laden des Active Directory-Moduls erfolgt automatisch.)

    New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]

    Hinweis

    Ein Wert für den Parameter -Name ist immer erforderlich (unabhängig davon, ob Sie -Name angeben oder nicht), wobei -DNSHostName, -RestrictToSingleComputer und -RestrictToOutboundAuthentication sekundäre Anforderungen für die drei Bereitstellungsszenarien sind.

    Parameter String Beispiel
    Name Name des Kontos ITFarm1
    DNSHostName DNS-Hostname des Diensts ITFarm1.contoso.com
    KerberosEncryptionType Jeder durch die Hostserver unterstützte Verschlüsselungstyp None, RC4, AES128, AES256
    ManagedPasswordIntervalInDays Kennwortänderungsintervall in Tagen (Standard liegt bei 30, wenn keine Angabe erfolgt) 90
    PrincipalsAllowedToRetrieveManagedPassword Die Computerkonten des Mitgliedhosts oder der Sicherheitsgruppe, die das Mitglied hostet, sind Mitglied von ITFarmHosts
    SamAccountName NetBIOS-Name für den Dienst, sofern dies nicht „Name“ entspricht ITFarm1
    ServicePrincipalNames Die Dienstprinzipalnamen für den Dienst http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

    Wichtig

    Das Kennwortänderungsintervall kann nur während der Erstellung festgelegt werden. Wenn Sie das Intervall ändern möchten, müssen Sie ein neues gMSA erstellen und es zur Erstellungszeit festlegen.

    Um zum Beispiel eine neue gMSA namens ITFarm1 für die Gruppe zu erstellen, verwenden Sie den folgenden Befehl. Die gMSA ermöglicht es dem Dienst, die Kerberos-Verschlüsselungsarten RC4, AES128 und AES256 zu verwenden. Der Dienst darf die SPNs http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com und http/ITFarm1/contoso verwenden.

    Geben Sie jeden Befehl in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

     New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso

Die Mitgliedschaft in Domain Admins, Account Operators oder die Fähigkeit msDS-GroupManagedServiceAccount Objekte zu erstellen, ist eine Grundvoraussetzung, die für die Durchführung dieses Vorgangs erforderlich ist. Detaillierte Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.

Um eine gMSA nur für die ausgehende Authentifizierung mit PowerShell zu erstellen, folgen Sie diesen Schritten.

  1. Führen Sie auf dem Windows Server 2012-Domänencontroller die Windows PowerShell über die Taskleiste aus.

  2. Verwenden Sie an der Eingabeaufforderung für das Windows PowerShell-Modul Active Directory den folgenden Befehl.

    New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]

    Das folgende Beispiel erstellt eine gMSA unter Verwendung der Parameter in der folgenden Tabelle.

    Parameter String Beispiel
    Name Benennen Sie das Konto ITFarm1
    ManagedPasswordIntervalInDays Kennwortänderungsintervall in Tagen (Standard liegt bei 30, wenn keine Angabe erfolgt) 75
    PrincipalsAllowedToRetrieveManagedPassword Die Computerkonten des Mitgliedhosts oder der Sicherheitsgruppe, die das Mitglied hostet, sind Mitglied von ITFarmHosts

    Wichtig

    Das Kennwortänderungsintervall kann nur während der Erstellung festgelegt werden. Wenn Sie das Intervall ändern möchten, müssen Sie ein neues gMSA erstellen und es zur Erstellungszeit festlegen.

    Der Beispielbefehl verwendet diese Parameter wie folgt.

    New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$

Konfigurieren der Dienstidentität Anwendungsdienst

Um die Dienste in Windows Server zu konfigurieren, lesen Sie die folgenden Artikel:

Andere Dienste könnten gMSA unterstützen. Konsultieren Sie die entsprechende Produktdokumentation, um Details darüber zu erhalten, wie diese Dienste zu konfigurieren sind.

Hinzufügen von Mitgliedshosts zu einer bestehenden Serverfarm

Wenn Sie Sicherheitsgruppen für das Verwalten von Mitgliedhosts verwenden, fügen Sie das Computerkonto für den neuen Mitgliedhosts mithilfe einer der folgenden Methoden zur Sicherheitsgruppe (in der die Mitgliedhosts des gMSA Mitglieder sind) hinzu.

Die Mitgliedschaft in Domänen-Admins oder die Fähigkeit, Mitglieder zum Sicherheitsgruppenobjekt hinzuzufügen, ist die Mindestvoraussetzung zum Abschließen dieser Verfahren.

Suchen Sie bei der Verwendung von Benutzerkonten nach vorhandenen Konten, und fügen Sie dann das neue Benutzerkonto hinzu.

Die Mitgliedschaft in Domain Admins, Account Operators oder die Fähigkeit msDS-GroupManagedServiceAccount Objekte zu verwalten, ist eine Grundvoraussetzung, die für die Durchführung dieses Vorgangs erforderlich ist. Detaillierte Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter „Lokale und Domänenstandardgruppen“.

Hinzufügen von Mitgliedshosts mit PowerShell

  1. Führen Sie auf dem Windows Server 2012-Domänencontroller die Windows PowerShell über die Taskleiste aus.

  2. Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden Befehle ein, und drücken Sie auf die EINGABETASTE:

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden Befehle ein, und drücken Sie auf die EINGABETASTE:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Das folgende Beispiel fügt ein Mitglied zu einer Serverfarm hinzu und verwendet dabei die Parameter in der Tabelle.

Parameter String Beispiel
Name Benennen Sie das Konto ITFarm1
PrincipalsAllowedToRetrieveManagedPassword Die Computerkonten des Mitgliedhosts oder der Sicherheitsgruppe, die das Mitglied hostet, sind Mitglied von Host1, Host2, Host3

Das folgende Beispiel ermittelt die aktuellen Mitglieder der Farm ITFarm1.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

Das folgende Beispiel fügt Mitgliedshosts zu einer bestehenden Serverfarm ITFarm1 hinzu.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

Aktualisieren der gMSA-Eigenschaften

Die Mitgliedschaft in Domänen-Admins, Konten-Operatoren oder Fähigkeit zum Schreiben in „msDS-GroupManagedServiceAccount“-Objekte ist die Mindestvoraussetzung, um diese Verfahren abzuschließen.

Öffnen Sie das Active Directory-Modul für Windows PowerShell, und setzen Sie eine beliebige Eigenschaft mit dem Set-ADServiceAccount Cmdlet.

Ausführliche Informationen zum Festlegen dieser Eigenschaften finden Sie unter Set-ADServiceAccount in der TechNet Library oder indem Sie in der Eingabeaufforderung des Active Directory-Moduls für Windows PowerShell Get-Help Set-ADServiceAccount eingeben und ENTER drücken.

Mitgliedshosts aus einer bestehenden Serverfarm entfernen

Die Mitgliedschaft in Domänen-Admins oder die Fähigkeit, Mitglieder aus dem Sicherheitsgruppenobjekt zu entfernen, ist die Mindestvoraussetzung zum Abschließen dieser Verfahren.

Wenn Sie Sicherheitsgruppen für das Verwalten von Mitgliedhosts verwenden, entfernen Sie das Computerkonto für den deaktivierten Mitgliedhost mithilfe einer der folgenden Methoden aus der Sicherheitsgruppe, in der die Mitgliedhosts des gMSA Mitglieder sind.

Wenn Sie Computerkonten auflisten, rufen Sie die vorhandenen Konten ab, und fügen Sie dann alle mit Ausnahme des entfernten Computerkontos hinzu.

Die Mitgliedschaft in Domain Admins, Account Operators oder die Fähigkeit msDS-GroupManagedServiceAccount Objekte zu verwalten, ist eine Grundvoraussetzung, die für die Durchführung dieses Vorgangs erforderlich ist. Detaillierte Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter „Lokale und Domänenstandardgruppen“.

Mitgliedshosts mit PowerShell entfernen

  1. Führen Sie auf dem Windows Server 2012-Domänencontroller die Windows PowerShell über die Taskleiste aus.

  2. Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden Befehle ein, und drücken Sie auf die EINGABETASTE:

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden Befehle ein, und drücken Sie auf die EINGABETASTE:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Das Beispiel entfernt ein Mitglied aus einer Serverfarm unter Verwendung der Parameter in der folgenden Tabelle.

Parameter String Beispiel
Name Benennen Sie das Konto ITFarm1
PrincipalsAllowedToRetrieveManagedPassword Die Computerkonten des Mitgliedhosts oder der Sicherheitsgruppe, die das Mitglied hostet, sind Mitglied von Host1, Host3

Das folgende Beispiel ermittelt die aktuellen Mitglieder der Farm ITFarm1.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

Das folgende Beispiel entfernt Mitgliedshosts aus einer bestehenden Serverfarm ITFarm1.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

Entfernen von gMSA aus dem System

Entfernen Sie die zwischengespeicherten gMSA-Anmeldeinformationen aus dem Mitgliedhost unter Verwendung der Uninstall-ADServiceAccount- oder NetRemoveServiceAccount-API auf dem Hostsystem.

Sie müssen mindestens Mitglied der Gruppe Administratoren oder einer entsprechenden Gruppe sein, um diese Verfahren abschließen zu können.

Entfernen einer gMSA mit PowerShell

  1. Führen Sie auf dem Windows Server 2012-Domänencontroller die Windows PowerShell über die Taskleiste aus.

  2. Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden Befehle ein, und drücken Sie auf die EINGABETASTE:

    Uninstall-ADServiceAccount <ADServiceAccount>

    Das folgende Beispiel entfernt ein Active Directory verwaltetes Dienstkonto von einem Computer.

    Uninstall-ADServiceAccount ITFarm1

Geben Sie für weitere Informationen über das Cmdlet Uninstall-ADServiceAccount an der Eingabeaufforderung für das Active Directory-Modul für Windows PowerShell Get-Help Uninstall-ADServiceAccount ein, und drücken Sie dann die EINGABETASTE, oder konsultieren Sie die Informationen auf der TechNet-Website unter Uninstall-ADServiceAccount.

Zugehöriger Inhalt