Compartilhar via


Introdução às Contas de Serviço Gerenciado de Grupo

Neste artigo, saiba como habilitar e usar as contas de serviço gerenciadas por grupo (gMSA) no Windows Server.

Os protocolos de autenticação com suporte à autenticação mútua, como Kerberos, não podem ser usados, a menos que todas as instâncias dos serviços usem a mesma entidade. Por exemplo, quando um computador cliente se conecta a um serviço que usa balanceamento de carga ou outro método em que todos os servidores parecem ser o mesmo serviço para o cliente. Isso significa que cada serviço deve usar as mesmas senhas ou chaves para provar sua identidade. As Contas de Serviço Gerenciado de Grupo são um tipo de conta que pode ser usada com vários servidores. Uma gMSA é uma conta de domínio que pode ser usada para executar serviços em vários servidores sem precisar gerenciar a senha. A gMSA oferece gerenciamento automático de senhas e gerenciamento de nome da entidade de serviço simplificado (SPN), incluindo delegação de gerenciamento a outros administradores.

Observação

Os clusters de failover não dão suporte a gMSAs. No entanto, os serviços que são executados sobre o Serviço de cluster poderão usar uma gMSA ou uma sMSA, se forem um serviço Windows, um pool de aplicativos, uma tarefa agendada ou oferecerem suporte nativo a gMSA ou sMSA.

Os serviços podem escolher a entidade a ser usada. Cada tipo de entidade oferece suporte a diferentes serviços e tem diferentes limitações.

Principals Serviços compatíveis Gerenciamento de senhas
Conta de Computador do sistema do Windows Limitado a um servidor ingressado no domínio O computador gerencia
Conta de Computador sem o sistema do Windows Qualquer servidor ingressado no domínio Nenhum
Conta Virtual Limitado a um servidor O computador gerencia
Conta de serviço gerenciado autônoma do Windows Limitado a um servidor ingressado no domínio O computador gerencia
Conta de Usuário Qualquer servidor ingressado no domínio Nenhum
Conta de Serviço Gerenciado de Grupo Qualquer servidor associado ao domínio do Windows Server O controlador de domínio gerencia e o host recupera

Uma conta de computador do Windows, uma sMSA (conta de serviço gerenciado autônoma) do Windows ou contas virtuais não podem ser compartilhadas em vários sistemas. Ao usar contas virtuais, a identidade também é local para a máquina e não é reconhecida pelo domínio. Se você configurasse uma conta para serviços em farms de servidores a serem compartilhados, teria que escolher uma conta de usuário ou uma conta de computador separada do sistema do Windows. De qualquer forma, essas contas não têm a capacidade de gerenciamento de senhas de ponto único de controle. Sem gerenciamento de senhas, cada organização precisa atualizar as chaves do serviço no Active Directory e distribuir essas chaves para todas as instâncias desses serviços.

Com o Windows Server, os serviços e os administradores de serviços não precisam gerenciar a sincronização de senha entre as instâncias de serviço ao usarem gMSA (contas de serviço gerenciado de grupo). Você cria a gMSA no Active Directory e, em seguida, configura o serviço que oferece suporte a contas de serviço gerenciado. O uso da gMSA tem como escopo qualquer computador que possa usar LDAP para recuperar as credenciais da gMSA. Você pode criar uma gMSA com os cmdlets New-ADServiceAccount que fazem parte do módulo do Active Directory. Os serviços a seguir oferecem suporte à configuração de identidade de serviço no host.

  • Algumas APIs, como sMSA, portanto, os produtos que oferecem suporte a sMSA darão suporte a gMSA

  • Serviços que usam o Gerenciador de Controle de Serviço para configurar a identidade de logon

  • Serviços que usam o gerenciador do IIS em pools de aplicativos para configurar identidade

  • Tarefas que usam o Agendador de Tarefas.

Pré-requisitos

A tabela a seguir lista os requisitos de sistema operacional para a autenticação Kerberos funcionar com serviços que usam gMSA. Os requisitos do Active Directory estão listados após a tabela.

É necessária uma arquitetura de 64 bits para executar os comandos do Windows PowerShell usados para administrar a gMSA.

Sistema operacional

Element Requisito
Host de Aplicativo Cliente Cliente Kerberos compatível com RFC
DCs de domínio da conta de usuário KDC compatível com RFC
Hosts membros de serviço compartilhado
DCs de domínio do host membro KDC compatível com RFC
DCs de domínio da conta gMSA DCs do Windows Server 2012 disponíveis para o host recuperar a senha
Host de serviço back-end Servidor de aplicativos Kerberos compatível com RFC
DCs de domínio da conta de serviço back-end KDC compatível com RFC
Windows PowerShell para Active Directory As Ferramentas de Administração de Servidor Remoto do Active Directory Domain Services

Active Directory Domain Services

As contas de serviço gerenciado de grupo têm os seguintes requisitos no Active Directory Domain Services (AD DS).

  • O nível funcional de floresta e de domínio do Active Directory devem ser o Windows Server 2012 ou posterior. Para saber mais sobre como atualizar o esquema, consulte Como aumentar os níveis funcionais de floresta e de domínio do Active Directory.

  • Se você estiver gerenciando a permissão do host do serviço para usar a gMSA por grupo, então grupo de segurança novo ou existente.

  • Se estiver gerenciando o controle de acesso ao serviço por grupo, então grupo de segurança novo ou existente.

  • A chave raiz do KDS (Key Distribution Services) para o Active Directory deve ser criada no domínio. O resultado dessa criação pode ser verificado no log Operacional KdsSvc, Event ID 4004. Para saber mais sobre como criar a chave raiz do KDS (kdssvc.dll) consulte Criar a chave raiz do KDS.

Implantar um novo farm de servidores

O processo de criação e gerenciamento de um farm de servidores que usa o recurso de gMSA geralmente envolve as tarefas a seguir.

  • Implantando um novo farm de servidores

  • Adicionando hosts membros a um farm de servidores existente

  • Encerrando hosts membros em um farm de servidores existente

  • Encerrando um farm de servidores existente

  • Removendo um host membro comprometido de um farm de servidores, se necessário

Quando o administrador do serviço implanta um novo farm de servidores, ele precisa determinar as informações a seguir.

  • O serviço oferece suporte ao uso de gMSAs

  • O serviço requer conexões autenticadas de entrada ou de saída

  • Os nomes de conta do computador dos hosts membros para o serviço que usa a gMSA

  • O nome NetBIOS para o serviço

  • O nome de host DNS para o serviço

  • Os SPNs (Nomes da Entidades de Serviço) para o serviço

  • O intervalo de alteração de senha (o padrão é 30 dias)

Criar Contas de Serviço Gerenciado de Grupo

Você só poderá criar uma gMSA se o esquema de floresta for Windows Server 2012 ou posterior. Você também deve implantar a chave raiz do KDS para o Active Directory e ter pelo menos um controlador de domínio do Windows Server 2012 ou posterior no domínio em que deseja criar um gMSA.

Importante

Os nomes de conta gMSA devem ser exclusivos dentro de um nível de floresta e não apenas de um domínio. Tentar criar uma conta gMSA com um nome duplicado irá falhar, mesmo em domínios diferentes.

A associação em Administradores de Domínio ou a capacidade de criar objetos msDS-GroupManagedServiceAccount é o mínimo necessário para concluir os procedimentos a seguir.

Para criar uma gMSA com o PowerShell, siga as etapas a seguir.

  1. No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.

  2. No prompt de comando do Windows PowerShell, digite os comandos a seguir e pressione ENTER. (O módulo Active Directory carrega automaticamente.)

    New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]

    Observação

    Um valor para o parâmetro -Name é sempre obrigatório (independentemente de você especificar -Name ou não), sendo -DNSHostName, -RestrictToSingleComputer e -RestrictToOutboundAuthentication requisitos secundários para os três cenários de implantação.

    Parâmetro String Exemplo
    Nome Nome da conta ITFarm1
    DNSHostName Nome de host DNS do serviço ITFarm1.contoso.com
    KerberosEncryptionType Quaisquer tipos de criptografia com suporte pelos servidores host Nenhum, RC4, AES128, AES256
    ManagedPasswordIntervalInDays Intervalo de alteração de senha em dias (o padrão é 30 dias, se nenhum tiver sido fornecido) 90
    PrincipalsAllowedToRetrieveManagedPassword As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte ITFarmHosts
    SamAccountName Nome NetBIOS para o serviço, se não for igual a Nome ITFarm1
    ServicePrincipalNames SPNs (Nomes da entidade de serviço) para o serviço http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

    Importante

    O intervalo de alteração de senha só pode ser configurado durante a criação. Se for necessário alterar o intervalo, crie uma nova gMSA e configure-a no momento da criação.

    Por exemplo, use o seguinte comando para criar uma nova gMSA chamada ITFarm1 para o grupo. A gMSA permite que o serviço use os tipos de criptografia Kerberos RC4, AES128 e AES256. O serviço tem permissão para usar os SPNs http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com e http/ITFarm1/contoso.

    Insira o comando em uma única linha, mesmo se houver quebra automática de linha em várias linhas devido a restrições de formatação.

     New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
    

A associação em Administradores do domínio, Operadores de contas ou a capacidade de criar objetos de msDS-GroupManagedServiceAccount, é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos de segurança do Active Directory.

Para criar uma gMSA apenas para autenticação de saída usando o PowerShell, siga as etapas.

  1. No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.

  2. No prompt de comando do módulo Active Directory do Windows PowerShell, use o comando a seguir.

    New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]

    O exemplo cria um gMSA usando os parâmetros da tabela a seguir.

    Parâmetro String Exemplo
    Nome Nome da conta ITFarm1
    ManagedPasswordIntervalInDays Intervalo de alteração de senha em dias (o padrão é 30 dias, se nenhum tiver sido fornecido) 75
    PrincipalsAllowedToRetrieveManagedPassword As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte ITFarmHosts

    Importante

    O intervalo de alteração de senha só pode ser configurado durante a criação. Se for necessário alterar o intervalo, crie uma nova gMSA e configure-a no momento da criação.

    O comando de exemplo usa esses parâmetros da maneira a seguir.

    New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
    

Configurar o serviço de aplicativo de identidade de serviço

Para configurar os serviços no Windows Server, consulte os seguintes artigos:

Outros serviços poderiam dar suporte a gMSA. Consulte a documentação de produto apropriada para obter detalhes sobre como configurar esses serviços.

Adicionar hosts membros a um farm de servidores existente

Se estiver usando grupos de segurança para gerenciar hosts membros, adicione a conta de computador do novo host membro ao grupo de segurança (dos quais os hosts membro da gMSA fazem parte) usando um dos métodos a seguir.

A associação em Admins. do Domínio ou a capacidade de adicionar membros ao objeto de grupo de segurança é o mínimo necessário para concluir esses procedimentos.

Se estiver usando contas de computador, localize as contas existentes e adicione a nova conta de computador.

A associação em Administradores do domínio, Operadores de contas ou a capacidade de gerenciar objetos msDS-GroupManagedServiceAccount, é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.

Adicionar hosts membros usando o PowerShell

  1. No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.

  2. No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

O exemplo a seguir adiciona um membro a um farm de servidores usando os parâmetros na tabela.

Parâmetro String Exemplo
Nome Nome da conta ITFarm1
PrincipalsAllowedToRetrieveManagedPassword As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte Host1, Host2, Host3

O exemplo a seguir obtém os membros atuais do farm ITFarm1.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

O exemplo a seguir adiciona hosts de membro a um farm ITFarm1 de servidores existente.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

Atualizar as propriedades da gMSA

A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de gravar em objetos msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esses procedimentos.

Abra o módulo Active Directory do Windows PowerShell e configure qualquer propriedade usando o cmdlet Set-ADServiceAccount.

Para obter informações detalhadas sobre como configurar essas propriedades, consulte Set-ADServiceAccount na Biblioteca do TechNet ou digite Get-Help Set-ADServiceAccount no prompt de comando do módulo Active Directory para Windows PowerShell e pressione ENTER.

Remover hosts membros de um farm de servidores existente

A associação em Admins. do Domínio ou a capacidade de remover membros do objeto de grupo de segurança é o mínimo necessário para concluir esses procedimentos.

Se estiver usando grupos de segurança para gerenciar hosts membros, remova a conta de computador do host membro encerrado do grupo de segurança do qual os hosts membros da gMSA são membros usando um dos métodos a seguir.

Se estiver listando contas de computador, recupere as contas existentes e adicione todas, exceto a conta de computador removida.

A associação em Administradores do domínio, Operadores de contas ou a capacidade de gerenciar objetos msDS-GroupManagedServiceAccount, é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.

Remover hosts membros usando o PowerShell

  1. No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.

  2. No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

O exemplo remove um membro de um farm de servidores usando os parâmetros da tabela a seguir.

Parâmetro String Exemplo
Nome Nome da conta ITFarm1
PrincipalsAllowedToRetrieveManagedPassword As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte Host1, Host3

O exemplo a seguir obtém os membros atuais do farm ITFarm1.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

O exemplo a seguir remove hosts membros de um farm ITFarm1 de servidores existente.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

Remover a gMSA do sistema

Remover as credenciais da gMSA armazenadas em cache do host membro usando a API Uninstall-ADServiceAccount ou o NetRemoveServiceAccount sistema host.

A associação em Administradores ou equivalente é o mínimo necessário para concluir esses procedimentos.

Remover um gMSA usando o PowerShell

  1. No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.

  2. No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:

    Uninstall-ADServiceAccount <ADServiceAccount>

    O exemplo a seguir desinstala uma conta de serviço gerenciado do Active Directory de um computador.

    Uninstall-ADServiceAccount ITFarm1
    

Para obter mais informações sobre o Uninstall-ADServiceAccount cmdlet, no prompt de comando do módulo do Active Directory para Windows PowerShell, digite Get-Help Uninstall-ADServiceAccount, e em seguida pressione ENTER ou consulte as informações no site do TechNet em Uninstall-ADServiceAccount.