Uruchamianie ocen przy użyciu zarządzanych kont usługi

Zarządzane konta usługi to typ podmiotu zabezpieczeń, który jest dostępny w aktualnie obsługiwanych wersjach usług Active Directory Domain Services. Mają one cechy zarówno podmiotów zabezpieczeń komputera, jak i podmiotów zabezpieczeń użytkownika. Mogą one uwierzytelniać się i uzyskiwać dostęp do zasobów w sieci. Można je również dodawać do grup zabezpieczeń. Mogą one być używane przez usługi, pule aplikacji IIS i zaplanowane zadania.

Korzyści związane z używaniem zarządzanych kont usługi

Zarządzane konta usługi umożliwiają rozwiązywanie określonych problemów związanych z używaniem kont użytkowników do uruchamiania usług, zaplanowanych zadań i pul aplikacji IIS:

• Automatyczne zarządzanie hasłami
• Uproszczone zarządzanie nazwami jednostki usługi
• Nie można ich używać do interaktywnego logowania się w systemie Windows
• Łatwa kontrola nad tym, które komputery mają uprawnienie do uwierzytelniania zarządzanych kont usługi i uruchamiania kodu w ich kontekście

Oceny na żądanie, które mogą korzystać z zarządzanych kont usługi

Na zarządzanych kontach usługi mogą zostać skonfigurowane następujące oceny na żądanie

• Active Directory
• Zabezpieczenia usługi Active Directory
• System Center Configuration Manager
• SharePoint
• SQL Server
• Klient z systemem Windows
• Serwer z systemem Windows

Uwaga

W przypadku niektórych konfiguracji w zakresie ochrony środowiska zarządzane konta usługi nie są oficjalnie wspierane przez dział obsługi klienta firmy Microsoft Gdy konfiguracje środowiska uniemożliwiają użycie konta usługi zarządzanej, mimo że działają w większości scenariuszy, może być konieczne użycie konta domeny.

Aprowizowanie zarządzanych kont usługi

Skonfigurowanie zaplanowanego zadania oceny do uruchamiania jako zarządzane konto usługi wymaga wcześniejszego zaaprowizowania lub utworzenia zarządzanego konta usługi w usługach Active Directory Domain Services. Każda z obsługiwanych ocen ma określone wymagania konta zaplanowanego zadania w zakresie autoryzacji i dostępu. Pomyślne uruchomienie zadania wymaga spełnienia tych wymagań. Szczegółowe informacje o wymaganiach dostępu konta zaplanowanego zadania można znaleźć w dokumentach wprowadzających i dokumentach z warunkami wstępnymi obsługiwanych ocen.

Są dwa typy zarządzanych kont usługi. Oba można konfigurować pod kątem zaplanowanego zadania oceny w przypadku obsługiwanych ocen:

• Autonomiczne zarządzane konta usługi (znane też jako konta wirtualne) można autoryzować do uwierzytelniania tylko na jednym komputerze przyłączonym do domeny.
• Konta usługi zarządzane przez grupę można autoryzować do uwierzytelniania na kilku komputerach przyłączonych do domeny.

Do aprowizowania i konfigurowania obu typów zarządzanych kont usługi wymagany jest moduł Windows PowerShell Active Directory. Ten moduł PowerShell zwykle jest instalowany podczas instalacji roli kontrolera domeny.

Moduł ten wchodzi w skład narzędzi administracji zdalnej serwera i można go dodać do jednostek SKU systemu Windows Server za pośrednictwem programu Menedżer serwera. Moduł ten można również dodać do systemu Windows 10.

Scenariusz 1 — Autonomiczne zarządzane konto usługi

Do pomyślnego przeprowadzenia aprowizacji autonomicznych zarządzanych kont usługi wymagany jest schemat lasu usług Active Directory Domain Services w wersji przynajmniej Windows Server 2008 R2. Na komputerach, na których zaplanowane zadania działają w trybie autonomicznego zarządzanego konta usługi, musi być uruchomiony system Windows Server 2012 lub nowszy.

Aprowizacja autonomicznego zarządzanego konta usługi w celu uruchamiania ocen na żądanie obejmuje trzy etapy:

1. Utwórz autonomiczne zarządzane konto usługi przy użyciu polecenia cmdlet programu PowerShell New-ADServiceAccount.
2. Przy użyciu polecenia cmdlet programu PowerShell Add-ADComputerServiceAccount zezwól komputerowi zbierającemu dane na uzyskiwanie hasła do autonomicznego zarządzanego konta usługi.
3. Autonomicznemu zarządzanemu kontu usługi przyznaj wymagany dostęp do środowiska, postępując zgodnie z instrukcjami podanymi w dokumentacji zawierającej warunki wstępne dla odpowiedniej oceny, która właśnie jest konfigurowana.

Tworzenie autonomicznego zarządzanego konta usługi

Aby utworzyć autonomiczne zarządzane konto usługi, wykonaj następujące polecenie w sesji programu PowerShell na kontrolerze domeny lub członku domeny z zainstalowanym modułem Windows PowerShell Active Directory. Użyj konta z uprawnieniami do tworzenia kont w usłudze Active Directory (członkowie grup Operatorzy kont i Administratorzy domeny domyślnie mają odpowiednie uprawnienia).

New-ADServiceAccount -Name <sMSAaccountname>  -RestrictToSingleComputer

Na przykład: PS C:> New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer

Autoryzowanie komputera zbierającego dane do używania autonomicznego zarządzanego konta usługi

Aby autoryzować komputer zbierający dane do uzyskiwania hasła do autonomicznego zarządzanego konta usługi, wykonaj następujące polecenie w sesji programu PowerShell na kontrolerze domeny lub członku domeny z zainstalowanym modułem Windows PowerShell Active Directory. Użyj konta z uprawnieniami do tworzenia kont w usłudze Active Directory (członkowie grup Operatorzy kont i Administratorzy domeny domyślnie mają odpowiednie uprawnienia).

Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”

Na przykład: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"

Instalowanie autonomicznego zarządzanego konta na komputerze zbierającym dane

Wstępne buforowanie autonomicznego zarządzanego konta na komputerze zbierającym dane to ważny krok weryfikacyjny, który pozwala zagwarantować, że konto zostało prawidłowo aprowizowane, a komputer zbierający dane może prawidłowo pobrać dane autonomicznego zarządzanego konta i go używać. Na komputerze zbierającym dane z zainstalowanym modułem Powershell dla usługi Active Directory uruchom poniższe polecenie.

Install-ADServiceAccount -Identity “sMSA samaccountname”

Na przykład: Install-ADServiceAccount -Identity "sMSA-SVC$"

Uwaga

Jeśli zostanie zwrócony błąd informujący o tym, że polecenie cmdlet nie zostało znalezione, zainstaluj moduł Powershell usługi Active Directory omówiony powyżej w sekcji Inicjowanie Obsługi zarządzanych kont usługi.

W przypadku innych błędów należy przejrzeć kanał dziennika zdarzeń w systemie Microsoft-Windows-Security-Netlogon/operacyjny dla zdarzeń kategorii MSA.

Scenariusz 2 — konto usługi zarządzane przez grupę

Do pomyślnego przeprowadzenia aprowizacji kont usługi zarządzanych przez grupę wymagany jest schemat lasu usług Active Directory Domain Services w wersji przynajmniej Windows Server 2012. Na komputerach, na których zaplanowane zadania działają w trybie konta usługi zarządzanego przez grupę, musi być uruchomiony system Windows Server 2012 lub nowszy.

Aprowizacja konta usługi zarządzanego przez grupę w celu uruchamiania ocen na żądanie obejmuje 3 etapy:

1. Utwórz klucz główny usług dystrybucji kluczy w usłudze Active Directory przy użyciu polecenia Add-KDSRootKey.
2. Przy użyciu polecenia cmdlet programu PowerShell New-ADServiceAccount utwórz konto usługi zarządzane przez grupę i zezwól komputerowi zbierającemu dane na uzyskiwanie hasła do konta usługi zarządzanego przez grupę.
3. Kontu usługi zarządzanemu przez grupę przyznaj wymagany dostęp do środowiska, postępując zgodnie z instrukcjami podanymi w dokumentacji zawierającej warunki wstępne dla odpowiedniej oceny, która właśnie jest konfigurowana.

Aprowizowanie klucza głównego usług dystrybucji kluczy

W lesie usługi Active Directory należy najpierw utworzyć klucz główny usług dystrybucji kluczy, jeśli nie został on wcześniej utworzony.  Aby ustalić, czy klucz główny usług dystrybucji kluczy istnieje, w sesji programu PowerShell wykonaj następujące polecenie.

Get-KdsRootKey

Uwaga

Jeśli polecenie nic nie zwróci, oznacza to, że w lesie usługi Active Directory nie istnieje klucz główny.

Aby utworzyć klucz główny usług dystrybucji kluczy, wykonaj następujące polecenie w sesji programu PowerShell na kontrolerze domeny lub członku domeny z zainstalowanym modułem Windows PowerShell Active Directory. Użyj konta z uprawnieniami do tworzenia kont w usłudze Active Directory (członkowie grup Administratorzy domeny i Administratorzy przedsiębiorstwa w domenie głównej lasu domyślnie mają odpowiednie uprawnienia).

Add-KdsRootKey -EffectiveImmediately 

Polecenie Add-KdsRootKey -EffectiveImmediately umożliwia utworzenie kont usługi zarządzanych przez grupę po 10 godzinach i zapewnienie połączenia replikacji ze wszystkimi kontrolerami domeny.

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) 

Polecenie Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) umożliwia natychmiastowe utworzenie kont usługi zarządzanych przez grupę.

Ta metoda niesie ze sobą pewne ryzyko niepowodzenia tworzenia lub użycia kont usługi zarządzanych przez grupę, jeśli łączenie replikacji usługi AD w całym lesie w normalnych warunkach trwa kilka godzin.

Tworzenie konta usługi zarządzanego przez grupę

Aby utworzyć konto usługi zarządzane przez grupę, wykonaj następujące polecenie w sesji programu PowerShell na kontrolerze domeny lub członku domeny z zainstalowanym modułem Windows PowerShell Active Directory. Użyj konta z uprawnieniami do tworzenia kont w usłudze Active Directory (członkowie grup Operatorzy kont i Administratorzy domeny domyślnie mają odpowiednie uprawnienia).

New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”

Przykład: PS C:> New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"

Instalowanie autonomicznego zarządzanego konta na komputerze zbierającym dane

Wstępne buforowanie autonomicznego zarządzanego konta na komputerze zbierającym dane to ważny krok weryfikacyjny, który pozwala zagwarantować, że obsługa konta została prawidłowo zainicjowana, a komputer zbierający dane może prawidłowo pobrać dane autonomicznego zarządzanego konta i go używać. Na komputerze zbierającym dane z zainstalowanym modułem Powershell dla usługi Active Directory uruchom poniższe polecenie.

Install-ADServiceAccount -Identity “gMSA samaccountname”

Przykład: Install-ADServiceAccount -Identity "gMSA-SVC$"

Uwaga

Jeśli zostanie zwrócony błąd informujący o tym, że polecenie cmdlet nie zostało znalezione, zainstaluj moduł Powershell usługi Active Directory omówiony powyżej w sekcji Inicjowanie Obsługi zarządzanych kont usługi.

W przypadku innych błędów należy przejrzeć kanał dziennika zdarzeń w systemie Microsoft-Windows-Security-Netlogon/operacyjny dla zdarzeń kategorii MSA.