Delen via


Overzicht van beheerde serviceaccounts voor groepen

In dit artikel voor IT-professionals wordt het beheerde serviceaccount van de groep (gMSA) geïntroduceerd door praktische toepassingen, wijzigingen in de implementatie van Microsoft en hardware- en softwarevereisten te beschrijven.

Functiebeschrijving

Een zelfstandig beheerd serviceaccount (sMSA) is een beheerd domeinaccount dat automatisch wachtwoordbeheer, vereenvoudigd SPN-beheer (Service Principal Name) en de mogelijkheid biedt om het beheer te delegeren aan andere beheerders. Domeinbeheerders kunnen servicebeheer delegeren aan servicebeheerders, die de volledige levenscyclus van een beheerd serviceaccount of het beheerde serviceaccount van de groep kunnen beheren. Bestaande clientcomputers kunnen zich verifiëren bij een dergelijke service zonder te weten bij welk service-exemplaar ze zich verifiëren. Dit type beheerde serviceaccount (MSA) is geïntroduceerd in Windows Server 2008 R2 en Windows 7.

Het beheerde serviceaccount van de groep (gMSA) biedt dezelfde functionaliteit binnen het domein en breidt die functionaliteit ook uit via meerdere servers. Dit minimaliseert de administratieve overhead van een serviceaccount doordat Windows wachtwoordbeheer voor deze accounts kan afhandelen. Wanneer u verbinding maakt met een service die wordt gehost op een serverfarm, zoals een oplossing met netwerktaakverdeling, moeten voor de verificatieprotocollen die wederzijdse verificatie ondersteunen, alle exemplaren van de services dezelfde principal gebruiken. Wanneer u een gMSA als service-principal gebruikt, beheert het Windows-besturingssysteem het wachtwoord voor het account in plaats van dat de beheerder het wachtwoord beheert.

Met de Microsoft Key Distribution-service (kdssvc.dll) kunt u veilig de meest recente sleutel of een specifieke sleutel verkrijgen met een sleutel-id voor een Active Directory-account. De sleuteldistributieservice deelt een geheim dat wordt gebruikt om sleutels voor het account te maken. Deze sleutels worden periodiek gewijzigd. Voor een gMSA berekent de domeincontroller het wachtwoord op de sleutel die de Key Distribution Services biedt, samen met andere kenmerken van de gMSA. Ledenhosts kunnen de huidige en voorgaande wachtwoordwaarden verkrijgen door contact op te maken met een domeincontroller.

Praktische toepassingen

gMSA's bieden één identiteitsoplossing voor services die worden uitgevoerd op een serverfarm of op systemen achter Network Load Balancer. Door een gMSA-oplossing te bieden, kunt u services configureren voor de nieuwe gMSA-principal terwijl Windows het wachtwoordbeheer afhandelt.

Wanneer services of servicebeheerders een gMSA gebruiken, hoeven ze geen wachtwoordsynchronisatie tussen service-exemplaren te beheren. De gMSA ondersteunt hosts die gedurende een langere periode offline blijven en beheert lidhosts voor alle exemplaren van een service. U kunt een serverfarm implementeren die ondersteuning biedt voor één identiteit die bestaande clientcomputers kunnen verifiëren zonder te hoeven weten met welk service-exemplaar ze verbinding maken.

Hoewel failoverclusters geen ondersteuning bieden voor gMSA's, kunnen services die op de clusterservice werken een gMSA of sMSA gebruiken als ze een Windows-service, een app-pool, een geplande taak of systeemeigen ondersteuning bieden voor gMSA of sMSA.

Softwarevereisten

Als u de Windows PowerShell-opdrachten wilt uitvoeren die u nodig hebt om gMSA's te beheren, moet u een 64-bits architectuur hebben.

Een beheerd serviceaccount is afhankelijk van ondersteunde Kerberos-versleutelingstypen. Wanneer een clientcomputer wordt geverifieerd bij een server met kerberos, maakt de DC een Kerberos-serviceticket dat is beveiligd met versleuteling die zowel de DC als de server ondersteunt. De DC gebruikt de eigenschap msDS-SupportedEncryptionTypes van het account om te bepalen welke versleuteling de server ondersteunt. Als er geen kenmerk is, behandelt de DC de clientcomputer, zoals deze geen sterkere versleutelingstypen ondersteunt. Als u de host zodanig hebt geconfigureerd dat RC4 niet wordt ondersteund, mislukt de verificatie altijd. Daarom moet u AES altijd configureren voor MSA's.

Notitie

Vanaf Windows Server 2008 R2 is DES standaard uitgeschakeld. Zie Wijzigingen in Kerberos-verificatievoor meer informatie over ondersteunde versleutelingstypen.

Notitie

gMSA's zijn niet van toepassing op Windows-besturingssystemen ouder dan Windows Server 2012. Voor Windows Server 2012 worden de Windows PowerShell-cmdlets standaard gebruikt voor het beheren van de gMSA's in plaats van de door de server beheerde serviceaccounts.

Informatie over Serverbeheer

U hoeft geen extra configuratie uit te voeren om MSA en gMSA te implementeren met Serverbeheer of de Install-WindowsFeature-cmdlet.

Volgende stappen

Hier volgen enkele andere bronnen die u kunt lezen voor meer informatie over beheerde serviceaccounts: