Creare un account del servizio gestito di gruppo (gMSA) in Microsoft Entra Domain Services

Le applicazioni e i servizi hanno spesso bisogno di un'identità per autenticarsi con altre risorse. Ad esempio, potrebbe essere necessario eseguire l'autenticazione con un servizio di database. Se un'applicazione o un servizio dispone di più istanze, ad esempio una server farm Web, la creazione e la configurazione manuale delle identità per tali risorse richiede molto tempo.

È invece possibile creare un account del servizio gestito del gruppo (gMSA) nel dominio gestito di Microsoft Entra Domain Services. Il sistema operativo Windows gestisce automaticamente le credenziali per un gMSA, semplificando la gestione di grandi gruppi di risorse.

Questo articolo illustra come creare un gMSA in un dominio gestito usando Azure PowerShell.

Prima di iniziare

Per completare questo articolo, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non hai una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato alla tua sottoscrizione, sincronizzato con una directory locale o con una directory solo cloud.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure all'account.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, completare l'esercitazione per creare e configurare un dominio gestito di Microsoft Entra Domain Services.
• Macchina virtuale di gestione di Windows Server aggiunta al dominio gestito di Servizi di dominio.
  • Se necessario, completare il tutorial per creare una macchina virtuale di gestione.

Panoramica degli account del servizio gestito

Un account del servizio gestito autonomo (sMSA) è un account di dominio la cui password viene gestita automaticamente. Questo approccio semplifica la gestione del nome dell'entità servizio (SPN) e consente la gestione delegata ad altri amministratori. Non è necessario creare e ruotare manualmente le credenziali per l'account.

Un account del servizio gestito del gruppo (gMSA) offre la stessa semplificazione della gestione, ma per più server nel dominio. Un account del servizio gestito del gruppo (gMSA) consente a tutte le istanze di un servizio ospitato in una server farm di usare lo stesso principale del servizio per far funzionare i protocolli di autenticazione reciproca. Quando un gMSA viene usato come entità servizio, il sistema operativo Windows gestisce di nuovo la password dell'account invece di dipendere dall'amministratore.

Per altre informazioni, vedere panoramica degli account del servizio gestito del gruppo (gMSA).

Uso degli account di servizio nei Servizi di dominio

Poiché i domini gestiti vengono bloccati e gestiti da Microsoft, quando si usano account di servizio è necessario tenere presenti alcune considerazioni:

• Creare account di servizio in unità organizzative personalizzate nel dominio gestito.
  • Non è possibile creare un account di servizio nelle unità organizzative predefinite AADDC Users o AADDC Computers.
  • Al contrario, creare un'unità organizzativa personalizzata nel dominio gestito e quindi creare account di servizio in tale unità organizzativa personalizzata.
• La chiave radice KDS (Key Distribution Services) viene creata in anteprima.
  • La chiave radice KDS viene utilizzata per generare e recuperare le password per i gMSA (account del servizio gestito del gruppo). Nei Servizi di dominio, viene creata la radice KDS per te.
  • Non si dispone dei privilegi per creare un'altra chiave o visualizzare la chiave radice KDS predefinita.

Creare un account del servizio gestito di gruppo

Creare prima di tutto un'unità organizzativa personalizzata usando il cmdlet New-ADOrganizationalUnit. Per altre informazioni sulla creazione e la gestione di unità organizzative personalizzate, vedere unità organizzative personalizzate in Domain Services.

Suggerimento

Per completare questi passaggi per creare un gMSA, usare la VM di gestione. Questa macchina virtuale di gestione deve avere già i cmdlet di PowerShell di AD necessari e la connessione al dominio gestito.

Nell'esempio seguente viene creata un'unità organizzativa personalizzata denominata myNewOU nel dominio gestito denominato aaddscontoso.com. Usare la propria unità organizzativa e il nome di dominio gestito:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Ora crea un account del servizio gestito di gruppo usando il cmdlet New-ADServiceAccount. Sono definiti i parametri di esempio seguenti:

• -Name è impostato su WebFarmSvc
• -Path parametro specifica l'unità organizzativa personalizzata per l'account del servizio gestito del gruppo creato nel passaggio precedente.
• Le voci DNS e i nomi principali del servizio vengono impostati per WebFarmSvc.aaddscontoso.com
• I principali in AADDSCONTOSO-SERVER$ possono recuperare la password e usare l'identità.

Specificare nomi e nomi di dominio personalizzati.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Le applicazioni e i servizi possono ora essere configurati per l'uso del gMSA in base alle esigenze.

Passaggi successivi

Per ulteriori informazioni sugli account del servizio gestito di gruppo (gMSA), vedere Introduzione agli account del servizio gestito di gruppo.