Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questo articolo per i professionisti IT vengono presentati gli account del servizio gestiti di gruppo, le relative applicazioni pratiche, le modifiche all'implementazione di Microsoft e i requisiti hardware e software.
Descrizione delle funzionalità
Un account del servizio gestito autonomo (sMSA) è un account di dominio gestito che garantisce la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN) e la possibilità di delegare la gestione ad altri amministratori. Gli amministratori di dominio possono delegare la gestione dei servizi agli amministratori dei servizi che possono gestire l'intero ciclo di vita di un account del servizio gestito o di un account del servizio gestito del gruppo. I computer client esistenti possono eseguire l'autenticazione per qualsiasi servizio senza conoscere l'istanza del servizio in cui stanno eseguendo l'autenticazione. Questo tipo di account del servizio gestito è stato introdotto in Windows Server 2008 R2 e Windows 7.
L'account del servizio gestito di gruppo offre le stesse funzionalità all'interno del dominio, ma le estende su più server. In questo modo è possibile ridurre il sovraccarico amministrativo di un account del servizio consentendo a Windows di gestire le password per tali account. Durante la connessione a un servizio ospitato in una server farm, come una soluzione con bilanciamento del carico di rete, i protocolli di autenticazione che supportano l'autenticazione reciproca richiedono che tutte le istanze dei servizi utilizzino lo stesso principale. Quando si utilizza un gMSA come principale del servizio, il sistema operativo Windows gestisce la password dell'account invece di fare affidamento su un amministratore.
Il Servizio distribuzione chiavi Microsoft (kdssvc.dll) consente di ottenere in modo sicuro la chiave più recente o una chiave specifica con un identificatore chiave per un account Active Directory. Il Servizio distribuzione chiavi condivide un segreto che viene utilizzato per creare le chiavi per l'account. Tali chiavi vengono modificate periodicamente. Per un account del servizio gestito di gruppo, il controller di dominio calcola la password sulla base della chiave fornita dal Servizio distribuzione chiavi, insieme ad altri attributi dell'account del servizio gestito di gruppo. Gli host membri possono ottenere i valori della password corrente e di quella precedente contattando un controller di dominio.
Applicazioni pratiche
Gli account del servizio gestiti di gruppo offrono un'unica soluzione di identità per i servizi in esecuzione in una server farm o nei sistemi dietro a un bilanciatore di carico di rete. Fornendo una soluzione gMSA, è possibile configurare i servizi per il nuovo principale gMSA mentre Windows gestisce la gestione delle password.
Quando i servizi o gli amministratori dei servizi usano un account del servizio gestito di gruppo (gMSA), non devono gestire la sincronizzazione delle password tra le istanze del servizio. L'account del servizio gestito di gruppo supporta gli host che rimangono disconnessi per periodi prolungati e gestisce gli host membri per tutte le istanze di un servizio. È possibile distribuire una server farm in grado di supportare una singola identità a cui tutti i computer client esistenti possono autenticarsi senza che sia nota l'istanza del servizio a cui si stanno connettendo.
Anche se i cluster di failover non forniscono supporto per i gMSA, i servizi che operano nel servizio cluster possono usare un gMSA o un sMSA se si tratta di un servizio Windows, di un pool di app, di un'attività pianificata o un servizio che supporta in modo nativo i gMSA o gli sMSA.
Requisiti software
Per eseguire i comandi di Windows PowerShell necessari per amministrare gli account del servizio gestito di gruppo, è necessario disporre di un'architettura a 64 bit.
Un account del servizio gestito dipende dai tipi di crittografia supportati da Kerberos. Quando un computer client esegue l'autenticazione a un server che utilizza Kerberos, il controller di dominio crea un ticket di servizio Kerberos con una crittografia supportata sia dal controller di dominio che dal server. Il controller di dominio usa l'attributo msDS-SupportedEncryptionTypes dell'account per determinare la crittografia supportata dal server. Se l'attributo non è presente, presuppone che il computer client non supporti tipi di crittografia più avanzati. Se l'host è configurato per non supportare la crittografia RC4, l'autenticazione avrà sempre esito negativo. Per questo motivo, dovresti sempre configurare AES per gli MSA.
Nota
A partire da Windows Server 2008 R2, la crittografia DES è disabilitata per impostazione predefinita. Per altre informazioni sui tipi di crittografia supportati, vedere Modifiche all'autenticazione Kerberos.
Nota
Non è possibile applicare gli account del servizio gestiti di gruppo (gMSAs) ai sistemi operativi Windows precedenti a Windows Server 2012. In Windows Server 2012, per impostazione predefinita i cmdlet di Windows PowerShell gestiscono i gMSA anziché gli account del servizio gestiti del server.
Informazioni su Server Manager
Non è necessario eseguire alcuna configurazione aggiuntiva per implementare MSA e gMSA usando Server Manager o il cmdlet Install-WindowsFeature.
Passaggi successivi
Ecco alcune altre risorse che è possibile consultare per altre informazioni sugli account del servizio gestito:
- Documentazione relativa agli account dei servizi gestiti per Windows 7 e Windows Server 2008 R2
- Guida passo passo agli account di servizio
- Introduzione agli Account di Servizio Gestiti di Gruppo
- Account del servizio gestito in Servizio di dominio Active Directory
- Account dei servizi gestiti: informazioni, implementazione, procedure consigliate e risoluzione dei problemi
- Active Directory Domain Services Overview (Panoramica di Active Directory Domain Services)