Configurazione di account del servizio gestito delegati

• Si applica a:

  ✅ Windows Server 2025

Un account del servizio gestito delegato (dMSA) è un account Active Directory (AD) che fornisce una gestione sicura ed efficace delle credenziali. A differenza degli account di servizio tradizionali, gli account del servizio gestito del database non richiedono la gestione manuale delle password perché AD se ne occupa automaticamente. Con dMSA, è possibile delegare autorizzazioni specifiche per accedere alle risorse nel dominio, riducendo così i rischi per la sicurezza e garantendo una migliore visibilità e log dell'attività dell'account del servizio.

La configurazione di un dMSA è attualmente disponibile solo su dispositivi che eseguono Windows Server 2025. DMSA è un approccio più sicuro e gestibile alla gestione degli account del servizio rispetto agli account di servizio tradizionali. Eseguendo la migrazione dei servizi critici a dMSA, le organizzazioni possono garantire che questi servizi vengano gestiti in modo sicuro e conforme. DMSA offre un livello di sicurezza superiore offrendo password univoche e spesso ruotate, riducendo la probabilità di accesso non autorizzato e migliorando la sicurezza complessiva.

Prerequisiti

• Il ruolo Dominio di Active Directory Services deve essere installato nel dispositivo o in qualsiasi dispositivo se si usano strumenti di gestione remota. Per altre informazioni, vedere Installare o disinstallare ruoli, servizi ruolo o funzionalità.
• Una volta installato il ruolo, il dispositivo deve essere alzato di livello a un controller di dominio (DC). In Server Manager, l'icona del flag visualizza una nuova notifica, selezionare Alza di livello il server a un controller di dominio e quindi completare i passaggi necessari.
• La chiave radice KDS deve essere generata nel controller di dominio prima di creare o eseguire la migrazione di un dMSA. Eseguire Get-KdsRootKey in PowerShell per verificare se la chiave è disponibile. Se la chiave non è disponibile, può essere aggiunta eseguendo Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)).

Nota

Per usare dMSA come account del servizio gestito autonomo o per sostituire un account del servizio legacy, è necessario eseguire il comando seguente nel dispositivo client:

$params = @{
 Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
 Name = "DelegatedMSAEnabled"
 Value = 1
 Type = "DWORD"
}
Set-ItemProperty @params

Creare un dMSA autonomo

Le istruzioni seguenti consentono agli utenti di creare un nuovo dMSA senza eseguire la migrazione da un account di servizio tradizionale.

1. Aprire una sessione di PowerShell con diritti di amministratore e avviare l'esecuzione di:

   $params = @{
    Name = "ServiceAccountName"
    DNSHostName = "DNSHostName"
    CreateDelegatedServiceAccount = $true
    KerberosEncryptionType = "AES256"
   }
   New-ADServiceAccount @params
   

2. Concedere l'autorizzazione al dispositivo specifico per recuperare la password per l'account del servizio in AD:

   $params = @{
    Identity = "DMSA Name"
    PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
   }
   Set-ADServiceAccount @params
   

3. Il valore della proprietà msDS-DelegatedMSAState per dMSA deve essere impostato su 3. Per visualizzare il valore corrente della proprietà, eseguire:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = "msDS-DelegatedMSAState"
   }
   Get-ADServiceAccount @params
   

   Per impostare questo valore su 3, eseguire:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = @{
     "msDS-DelegatedMSAState" = 3
    }
   }
   Set-ADServiceAccount @params
   

Eseguire la migrazione a un account dMSA

Per eseguire la migrazione di un account del servizio a un dMSA, seguire questa procedura:

1. Creare un dMSA descritto in Creazione di un dMSA autonomo.

2. Avviare la migrazione dell'account a un dMSA:

   $params = @{
    Identity = "<DMSAName>"
    SupersededAccount = "<DN of service account>"
   }
   Start-ADServiceAccountMigration @params
   

3. Se l'account del servizio di cui viene eseguita la migrazione a un account del servizio gestito ha accesso a più server, è necessario prima applicare un criterio del Registro di sistema per assicurarsi che l'impostazione predefinita sia il controller di dominio. Dopo aver eseguito l'accesso con dMSA, eseguire:

   $params = @{
    Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
    Name = "DelegatedMSAEnabled"
    Value = "1"
    PropertyType = "DWORD"
    Force = $true
   }
   New-ItemProperty @params
   

4. Dopo aver applicato le modifiche al Registro di sistema e aver collegato l'account, riavviare i servizi in esecuzione per l'account eseguendo:

   Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
   

Nota

Nel caso in cui l'account del servizio sia connesso a più dispositivi e la migrazione sia terminata, è necessario aggiornare manualmente PrincipalsAllowedToRetrieveManagedPassword .

Completare la migrazione dell'account

Avviso

Quando si finalizza la migrazione, non eliminare mai l'account del servizio originale nel caso in cui sia necessario ripristinare la migrazione dopo la migrazione perché questo causa diversi problemi.

Per completare la migrazione dell'account, è necessario disabilitare gli account di servizio tradizionali per assicurarsi che tutti i servizi usino il dMSA.

Per disabilitare l'account del servizio tradizionale, eseguire il comando seguente:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Se viene eseguita la migrazione dell'account errato, eseguire il comando seguente per annullare tutti i passaggi durante la migrazione:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Per ripristinare uno stato inattivo o non collegato di un account del servizio, eseguire:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

Visualizzare i log eventi dMSA

Gli eventi possono essere visualizzati usando il Visualizzatore eventi (eventvwr.exe) eseguendo le azioni seguenti:

1. Fare clic con il pulsante destro del mouse su Start e selezionare Visualizzatore eventi.
2. Nel riquadro sinistro, espandere Applicazioni e servizi e passare a Microsoft\Windows\Security-Kerberos\Operational.
3. La registrazione per questo provider è disabilitata per impostazione predefinita, per abilitare la registrazione, fare clic con il pulsante destro del mouse su Operativo e selezionare Abilita log.

La tabella seguente descrive questi eventi acquisiti.

ID evento	Descrizione
307	Migrazione dMSA: questo evento viene scritto sia per le dMSA in fase di migrazione che per quelle di cui è stata eseguita la migrazione. Contiene informazioni sull'account del servizio precedente e sul nuovo dMSA.
308	Aggiunta autorizzazione dMSA: questo evento viene registrato quando un computer tenta di aggiungersi alle entità autorizzate a recuperare il campo password gestito di un dMSA durante la migrazione.
309	Key Fetch dMSA: questo evento viene registrato quando il client Kerberos tenta di recuperare le chiavi per un dMSA dal controller di dominio.

Vedi anche

• New-ADServiceAccount
• Complete-ADServiceAccountMigration
• Reset-ADServiceAccountMigration
• Start-ADServiceAccountMigration
• Undo-ADServiceAccountMigration