Configurar um domínio para o cenário de gMSA (Contas de Serviço Gerenciado de grupo)
Importante
Este artigo se aplica somente ao MIM 2016 SP2.
O MIM (Microsoft Identity Manager) trabalha com o domínio do AD (Active Directory). Você já deve ter o AD instalado e verificar se tem um controlador de domínio em seu ambiente para um domínio que possa administrar. Este artigo descreve como configurar Contas de Serviço Gerenciado de Grupo naquele domínio para uso pelo MIM.
Visão geral
As Contas de Serviço Gerenciado de Grupo eliminam a necessidade de alterar periodicamente as senhas das contas de serviço. Com o lançamento do MIM 2016 SP2, os seguintes componentes do MIM podem ter contas gMSA configuradas para serem usadas durante o processo de instalação:
- Serviço de Sincronização do MIM (FIMSynchronizationService)
- Serviço do MIM (FIMService)
- Pool de aplicativos do site da Web para Registro de Senha do MIM
- Pool de aplicativos do site da Web para Redefinição de Senha do MIM
- Pool de aplicativos do site da Web para API REST do PAM
- Serviço de Monitoramento do PAM (PamMonitoringService)
- Serviço de componente do PAM (PrivilegeManagementComponentService)
Os seguintes componentes do MIM não oferecem suporte à execução como contas gMSA:
- Portal do MIM. Isso ocorre porque o Portal do MIM faz parte do ambiente do SharePoint. Em vez disso, você pode implantar o SharePoint no modo farm e Configurar a alteração automática de senha no SharePoint Server.
- Todos os Agentes de Gerenciamento
- Gerenciamento de Certificados da Microsoft
- BHOLD
Mais informações sobre gMSA podem ser encontradas nos seguintes artigos:
Crie contas de usuários e grupos
Todos os componentes da implantação do MIM precisam de suas próprias identidades no domínio. Isso inclui os componentes do MIM, como Serviço e Sincronização, bem como o SharePoint e o SQL.
Observação
Este passo a passo usa nomes e valores de exemplo de uma empresa chamada Contoso. Substitua-os pelos seus próprios valores. Por exemplo:
- Nome do controlador de domínio – dc
- Nome do domínio - contoso
- Nome do Servidor de Serviços do MIM – mimservice
- Nome do Servidor de Sincronização do MIM – mimsync
- Nome do SQL Server – sql
- Senha - Pass@word1
Entre no controlador de domínio como o Administrator do domínio com a senha (e. g. Contoso\Administrador).
Crie as seguintes contas de usuário para serviços do MIM. Inicie o PowerShell e digite o script do PowerShell a seguir para criar novos usuários de domínio do AD (nem todas as contas são obrigatórias; embora o script seja fornecido apenas para fins informativos, é uma melhor prática usar uma conta MIMAdmin dedicada para o processo de instalação do MIM e do SharePoint).
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMAdmin –name MIMAdmin Set-ADAccountPassword –identity MIMAdmin –NewPassword $sp Set-ADUser –identity MIMAdmin –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName svcSharePoint –name svcSharePoint Set-ADAccountPassword –identity svcSharePoint –NewPassword $sp Set-ADUser –identity svcSharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName svcMIMSql –name svcMIMSql Set-ADAccountPassword –identity svcMIMSql –NewPassword $sp Set-ADUser –identity svcMIMSql –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName svcMIMAppPool –name svcMIMAppPool Set-ADAccountPassword –identity svcMIMAppPool –NewPassword $sp Set-ADUser –identity svcMIMAppPool –Enabled 1 -PasswordNeverExpires 1Crie grupos de segurança para todos os grupos.
New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator Add-ADGroupMember -identity MIMSyncAdmins -Members MIMAdminAdicione os SPNs (Nomes da Entidade de Serviço) para habilitar a autenticação Kerberos para contas de serviço
setspn -S http/mim.contoso.com contoso\svcMIMAppPoolNão se esqueça de registrar os registros 'A' de DNS a seguir para a resolução apropriada dos nomes (supondo que os sites da Web do Serviço do MIM, do Portal do MIM, de Redefinição de Senha e de Registro de Senha sejam hospedados no mesmo computador)
- mim.contoso.com – aponta para o Serviço do MIM e o endereço IP físico do servidor do portal
- passwordreset.contoso.com – aponta para o Serviço do MIM e o endereço IP físico do servidor do portal
- passwordregistration.contoso.com – aponta para o Serviço do MIM e o endereço IP físico do servidor do portal
Criar a Chave Raiz do Serviço de Distribuição de Chaves
Verifique se você está conectado ao controlador de domínio como administrador para preparar o serviço de distribuição de chave de grupo.
Se já houver uma chave raiz para o domínio (use o Get-KdsRootKey para verificar) e, em seguida, passe para a próxima seção.
Crie a Chave Raiz dos KDS (Serviços de Distribuição de Chaves) (apenas uma vez por domínio), se necessário. A Chave Raiz é usada pelo serviço KDS em controladores de domínio (juntamente com outras informações) para gerar senhas. Como um administrador de domínio, digite o seguinte comando do PowerShell:
Add-KDSRootKey –EffectiveImmediately–EffectiveImmediately pode exigir um atraso de até aproximadamente 10 horas, pois ele precisará ser replicado para todos os controladores de domínio. Esse atraso foi de aproximadamente uma hora para os dois controladores de domínio.
Observação
No laboratório ou no ambiente de teste, você pode evitar o atraso de replicação de 10 horas executando o seguinte comando substituto:
Add-KDSRootKey -EffectiveTime ((Get-Date).AddHours(-10))
Criar conta de serviço de sincronização, grupo e entidade de serviço do MIM
Verifique se todas as contas de computador nos computadores em que o software do MIM deverá ser instalado já estão associadas ao domínio. Em seguida, execute essas etapas no PowerShell como um administrador de domínio.
Crie um grupo chamado MIMSync_Servers e adicione todos os servidores de sincronização do MIM nesse grupo. Digite conforme a seguir para criar um novo grupo do AD para servidores de sincronização do MIM. Em seguida, adicione nesse grupo as contas de computador do Active Directory do servidor de sincronização do MIM – por exemplo, contoso\MIMSync$.
New-ADGroup –name MIMSync_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMSync_Servers Add-ADGroupmember -identity MIMSync_Servers -Members MIMSync$Crie uma gMSA para o Serviço de Sincronização do MIM. Digite os comandos do PowerShell a seguir.
New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"Verifique os detalhes da gSMA criada executando o comando do PowerShell Get-ADServiceAccount:
Se você planeja executar o Serviço de Notificação de Alteração de Senha, será necessário registrar o Nome da Entidade de Serviço executando este comando do PowerShell:
Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}Reinicialize o servidor de sincronização do MIM para atualizar o token Kerberos associado ao servidor, uma vez que a associação ao grupo "MIMSync_Server" foi alterada.
Criar conta de serviço do Agente de Gerenciamento de Serviços do MIM
- Normalmente, ao instalar o serviço do MIM, você criará uma nova conta para o Agente de Gerenciamento de Serviços do MIM (conta de MA do MIM). Com a gMSA, há duas opções disponíveis:
Usar a conta de serviço gerenciado de grupo do Serviço de Sincronização do MIM e não criar uma conta separada
Você pode pular a criação da conta de serviço do Agente de Gerenciamento de Serviços do MIM. Nesse caso, use o nome da gMSA do Serviço de Sincronização do MIM – por exemplo, contoso\MIMSyncGMSAsvc$ – em vez da conta de MA do MIM ao instalar o Serviço do MIM. Posteriormente, na configuração do Agente de Gerenciamento de Serviços do MIM, habilite a opção 'Usar a conta do MIMSync'.
Não habilite a opção 'Negar logon da rede' para a gMSA do Serviço de Sincronização do MIM, uma vez que a conta de MA do MIM requer a autorização 'Permitir logon na rede'.
Usar uma conta de serviço normal para a conta de serviço do Agente de Gerenciamento de Serviços do MIM
Inicie o PowerShell como um administrador de domínio e digite o seguinte para criar um novo usuário de domínio do AD:
$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName svcMIMMA –name svcMIMMA Set-ADAccountPassword –identity svcMIMMA –NewPassword $sp Set-ADUser –identity svcMIMMA –Enabled 1 –PasswordNeverExpires 1Não habilite a opção 'Negar logon da rede' para a conta de MA do MIM, uma vez que ela requer a autorização 'Permitir logon na rede'.
Criar contas de serviço, grupos e a entidade de serviço do MIM
Continue usando o PowerShell como um administrador de domínio.
Crie um grupo chamado MIMService_Servers e adicione todos os servidores de Serviço do MIM nesse grupo. Digite o comando do PowerShell a seguir para criar um novo grupo do AD para servidores de Serviço do MIM e adicione nesse grupo a conta de computador do Active Directory do servidor de Serviço do MIM – por exemplo, contoso\MIMPortal$.
New-ADGroup –name MIMService_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMService_Servers Add-ADGroupMember -identity MIMService_Servers -Members MIMPortal$Crie a gMSA do Serviço do MIM.
New-ADServiceAccount -Name MIMSrvGMSAsvc -DNSHostName MIMSrvGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMService_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='FIMService/mimportal.contoso.com'}Registre o nome da entidade de serviço e habilite a delegação Kerberos executando o seguinte comando do PowerShell:
Set-ADServiceAccount -Identity MIMSrvGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="FIMService/mimportal.contoso.com"}Para cenários de SSPR, você precisa que a Conta de Serviço do MIM seja capaz de se comunicar com o Serviço de Sincronização do MIM. Portanto, a Conta de Serviço do MIM deve ser membro do MIMSyncAdministrators ou dos grupos de Redefinição de Senha de Sincronização e Procurar:
Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMSrvGMSAsvc$ Add-ADGroupmember -identity MIMSyncBrowse -Members MIMSrvGMSAsvc$Reinicialize o servidor de Serviço do MIM para atualizar o token Kerberos associado ao servidor, uma vez que a associação ao grupo "MIMService_Servers" foi alterada.
Criar outras contas e grupos do MIM, se necessário
Se você estiver configurando o SSPR do MIM, então, seguindo as mesmas diretrizes descritas acima para o Serviço de Sincronização do MIM e o Serviço do MIM, você poderá criar outras gMSA para:
- Pool de aplicativos do site da Web para Redefinição de Senha do MIM
- Pool de aplicativos do site da Web para Registro de Senha do MIM
Se você estiver configurando o PAM do MIM, então, seguindo as mesmas diretrizes descritas acima para o Serviço de Sincronização do MIM e o Serviço do MIM, você poderá criar outras gMSA para:
- Pool de aplicativos do site da Web para API REST do PAM do MIM
- Serviço de componente do PAM do MIM
- Serviço de monitoramento do PAM do MIM
Especificação de uma gMSA ao instalar o MIM
Como regra geral, na maioria dos casos, ao usar um instalador do MIM, para especificar que você deseja usar um gMSA em vez de uma conta regular, acrescente um caractere de sinal de dólar ao nome gMSA, por exemplo, contoso\MIMSyncGMSAsvc$, e deixe o campo de senha vazio. Uma exceção é a ferramenta miisactivate.exe, que aceita o nome da gMSA sem o cifrão.