Configuração de Contas de Serviço Gerenciado delegadas

• Aplica-se a:

  ✅ Windows Server 2025

Uma Conta de Serviço Gerenciado delegada (dMSA) é uma conta do Active Directory (AD) que permite o gerenciamento seguro e eficiente de credenciais. Ao contrário das contas de serviço tradicionais, as dMSAs não exigem gerenciamento manual de senhas, pois o AD cuida disso automaticamente. Com as dMSAs, permissões específicas podem ser delegadas para acessar recursos no domínio, o que reduz os riscos de segurança e fornece melhor visibilidade e registros da atividade da conta de serviço.

No momento, a configuração de uma dMSA só está disponível em dispositivos que executam o Windows Server 2025. A dMSA é uma abordagem mais segura e gerenciável quanto ao gerenciamento de contas de serviço em comparação com as contas de serviço tradicionais. Ao migrar serviços críticos para a dMSA, as organizações podem garantir que esses serviços sejam gerenciados de maneira segura e compatível. A dMSA fornece um nível mais alto de segurança, oferecendo senhas exclusivas e alternadas com frequência, o que reduz a probabilidade de acesso não autorizado e melhora a segurança geral.

Pré-requisitos

• A função Serviços de Domínio Active Directory deve ser instalada em seu dispositivo ou em qualquer dispositivo se estiver usando ferramentas de gerenciamento remoto. Para obter mais informações, confira Instalar ou desinstalar funções, serviços de função ou recursos.
• Depois que a função for instalada, o dispositivo deverá ser promovido a DC (Controlador de Domínio). No Gerenciador do Servidor, o ícone de sinalizador exibe uma nova notificação, selecione Promover este servidor a um controlador de domínio e conclua as etapas necessárias.
• A chave raiz do KDS deve ser gerada no controlador de domínio antes que uma dMSA seja criada ou migrada. Execute Get-KdsRootKey no PowerShell para verificar se a chave está disponível. Se a chave não estiver disponível, ela pode ser adicionada executando Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)).

Observação

Para usar a dMSA como uma Conta de Serviço Gerenciada (MSA) autônoma ou para substituir uma conta de serviço herdada, o seguinte comando precisa ser executado no dispositivo cliente:

$params = @{
 Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
 Name = "DelegatedMSAEnabled"
 Value = 1
 Type = "DWORD"
}
Set-ItemProperty @params

Criar uma dMSA independente

As instruções a seguir permitem que os usuários criem uma nova dMSA sem migrar de uma conta de serviço tradicional.

1. Abra uma sessão do PowerShell com direitos de administrador e execute:

   $params = @{
    Name = "ServiceAccountName"
    DNSHostName = "DNSHostName"
    CreateDelegatedServiceAccount = $true
    KerberosEncryptionType = "AES256"
   }
   New-ADServiceAccount @params
   

2. Conceda permissão ao dispositivo específico para recuperar a senha da conta de serviço no AD:

   $params = @{
    Identity = "DMSA Name"
    PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
   }
   Set-ADServiceAccount @params
   

3. O valor da propriedade msDS-DelegatedMSAState para a dMSA deve ser definido como 3. Para exibir o valor da propriedade atual, execute:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = "msDS-DelegatedMSAState"
   }
   Get-ADServiceAccount @params
   

   Para definir esse valor como 3, execute:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = @{
     "msDS-DelegatedMSAState" = 3
    }
   }
   Set-ADServiceAccount @params
   

Migrar para uma dMSA

Para migrar uma conta de serviço para uma dMSA, siga estas etapas:

1. Crie uma dMSA conforme descrito em Criar uma dMSA autônoma.

2. Inicie a migração da conta para uma dMSA:

   $params = @{
    Identity = "<DMSAName>"
    SupersededAccount = "<DN of service account>"
   }
   Start-ADServiceAccountMigration @params
   

3. Se a conta de serviço que está sendo migrada para uma dMSA tiver acesso a vários servidores, uma política do registro deverá ser aplicada primeiro para garantir que ela seja padronizada para o DC. Depois de entrar usando a dMSA, execute:

   $params = @{
    Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
    Name = "DelegatedMSAEnabled"
    Value = "1"
    PropertyType = "DWORD"
    Force = $true
   }
   New-ItemProperty @params
   

4. Depois que as alterações no registro forem aplicadas e a conta for vinculada, reinicie os serviços em execução para a conta executando:

   Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
   

Observação

Caso a conta de serviço esteja conectada a vários dispositivos e a migração tenha terminado, o PrincipalsAllowedToRetrieveManagedPassword precisará ser atualizado manualmente.

Concluir a migração da conta

Aviso

Ao finalizar a migração, nunca exclua a conta de serviço original caso você precise reverter para ela após a migração, pois isso causa vários problemas.

Para concluir a migração de conta, as contas de serviço tradicionais devem ser desabilitadas para garantir que todos os serviços usem a dMSA.

Para desabilitar a conta de serviço tradicional, execute o seguinte comando:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Se a conta errada estiver sendo migrada, execute o seguinte para desfazer todas as etapas durante a migração:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Para reverter uma conta de serviço de volta para um estado inativo ou não vinculado, execute:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

Exibir logs de eventos da dMSA

Os eventos podem ser exibidos com o Visualizador de Eventos (eventvwr.exe), realizando as seguintes ações:

1. Clique com o botão direito do mouse em Iniciar e selecione Visualizador de Eventos.
2. No painel esquerdo, expanda Aplicativos e Serviços e navegue até Microsoft\Windows\Security-Kerberos\Operational.
3. O registro em log para esse provedor está desabilitado por padrão, para habilitar o log, clique com o botão direito do mouse em Operacional e selecione Habilitar Log.

A tabela a seguir descreve esses eventos capturados.

ID do evento	Descrição
307	Migração de dMSA - esse evento é escrito para dMSAs em migração e para aqueles que migraram. Ele contém informações sobre a conta de serviço antiga e a nova dMSA.
308	Adição de Permissão de dMSA - esse evento é registrado quando uma máquina tenta se adicionar às entidades com permissão para recuperar o campo de senha gerenciada de uma dMSA durante a migração.
309	Busca de Chave da dMSA - esse evento é registrado quando o cliente Kerberos tenta buscar chaves para uma dMSA desde o controlador de domínio.

Confira também

• New-ADServiceAccount
• Complete-ADServiceAccountMigration
• Reset-ADServiceAccountMigration
• Start-ADServiceAccountMigration
• Undo-ADServiceAccountMigration