Настройка делегированных управляемых учетных записей служб

• Применяется к:

  ✅ Windows Server 2025

Делегированная управляемая учетная запись службы (dMSA) — это учетная запись Active Directory (AD), которая обеспечивает безопасное и эффективное управление учетными данными. В отличие от традиционных учетных записей служб, dMSAs не требуют ручного управления паролями, так как AD автоматически заботится об этом. С помощью DMSAs определенные разрешения можно делегировать для доступа к ресурсам в домене, что снижает риски безопасности и обеспечивает более высокую видимость и журналы действий учетной записи службы.

Настройка dMSA в настоящее время доступна только на устройствах под управлением Windows Server 2025. DMSA — это более безопасный и управляемый подход к управлению учетными записями служб по сравнению с традиционными учетными записями служб. Перенос критически важных служб в dMSA организации могут гарантировать, что эти службы управляются безопасным и соответствующим образом. DMSA обеспечивает более высокий уровень безопасности, предлагая уникальные и часто поворачиваемые пароли, что снижает вероятность несанкционированного доступа и повышает общую безопасность.

Необходимые компоненты

• Роль служб домен Active Directory должна быть установлена на устройстве или на любом устройстве при использовании средств удаленного управления. Дополнительные сведения см. в статье "Установка или удаление ролей", "Службы ролей" или "Компоненты".
• После установки роли устройство должно быть повышено до контроллера домена (DC). В диспетчер сервера значок флага отображает новое уведомление, выберите "Повысить уровень этого сервера до контроллера домена", а затем выполните необходимые действия.
• Корневой ключ KDS должен быть создан на контроллере домена перед созданием или переносом DMSA. Запустите Get-KdsRootKey PowerShell, чтобы проверить, доступен ли ключ. Если ключ недоступен, его можно добавить, выполнив команду Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)).

Примечание.

Чтобы использовать dMSA в качестве автономной управляемой учетной записи службы (MSA) или заменив устаревшую учетную запись службы, на клиентском устройстве необходимо выполнить следующую команду:

$params = @{
 Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
 Name = "DelegatedMSAEnabled"
 Value = 1
 Type = "DWORD"
}
Set-ItemProperty @params

Создание автономной dMSA

Следующие инструкции позволяют пользователям создавать новую dMSA без миграции из традиционной учетной записи службы.

1. Откройте сеанс PowerShell с правами администратора и выполните следующую команду:

   $params = @{
    Name = "ServiceAccountName"
    DNSHostName = "DNSHostName"
    CreateDelegatedServiceAccount = $true
    KerberosEncryptionType = "AES256"
   }
   New-ADServiceAccount @params
   

2. Предоставьте устройству разрешение на получение пароля для учетной записи службы в AD:

   $params = @{
    Identity = "DMSA Name"
    PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
   }
   Set-ADServiceAccount @params
   

3. Значение свойства msDS-DelegatedMSAState для dMSA должно иметь значение 3. Чтобы просмотреть текущее значение свойства, выполните следующую команду:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = "msDS-DelegatedMSAState"
   }
   Get-ADServiceAccount @params
   

   Чтобы задать это значение 3, выполните следующую команду:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = @{
     "msDS-DelegatedMSAState" = 3
    }
   }
   Set-ADServiceAccount @params
   

Миграция на dMSA

Чтобы перенести учетную запись службы в dMSA, выполните следующие действия.

1. Создайте dMSA, описанную в разделе "Создание автономной dMSA".

2. Инициируйте миграцию учетной записи в dMSA:

   $params = @{
    Identity = "<DMSAName>"
    SupersededAccount = "<DN of service account>"
   }
   Start-ADServiceAccountMigration @params
   

3. Если учетная запись службы, переносимая на dMSA, имеет доступ к нескольким серверам, сначала необходимо применить политику реестра, чтобы убедиться, что она используется по умолчанию для контроллера домена. После входа с помощью DMSA выполните следующую команду:

   $params = @{
    Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
    Name = "DelegatedMSAEnabled"
    Value = "1"
    PropertyType = "DWORD"
    Force = $true
   }
   New-ItemProperty @params
   

4. После применения изменений в реестре и связывания учетной записи перезапустите запущенные службы для учетной записи, выполнив следующую команду:

   Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
   

Примечание.

В случае, если учетная запись службы подключена к нескольким устройствам и миграция завершена, субъектыAllowedToRetrieveManagedPassword необходимо обновить вручную.

Завершение миграции учетной записи

Предупреждение

При завершении миграции никогда не удаляйте исходную учетную запись службы в случае необходимости вернуться к ней после миграции, так как это приводит к нескольким проблемам.

Чтобы завершить миграцию учетных записей, традиционные учетные записи служб должны быть отключены, чтобы все службы использовали dMSA.

Чтобы отключить традиционную учетную запись службы, выполните следующую команду:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Если выполняется миграция неправильной учетной записи, выполните следующие действия, чтобы отменить все действия во время миграции:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Чтобы вернуть учетную запись службы обратно в неактивное или несвязанное состояние, выполните следующую команду:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

Просмотр журналов событий dMSA

События можно просматривать с помощью Просмотр событий (eventvwr.exe), выполнив следующие действия:

1. Щелкните правой кнопкой мыши пуск и выберите Просмотр событий.
2. В левой области разверните приложения и службы и перейдите к Microsoft\Windows\Security-Kerberos\Operational.
3. Ведение журнала для этого поставщика по умолчанию отключено, чтобы включить ведение журнала, щелкните правой кнопкой мыши операционную систему и выберите "Включить журнал".

В следующей таблице описаны эти захваченные события.

Идентификатор события	Description
307	Миграция dMSA — это событие записывается как для DMSAs в рамках миграции, так и для перенесенных. Она содержит сведения о старой учетной записи службы и новой dMSA.
308	Добавление разрешений dMSA. Это событие регистрируется при попытке компьютера добавить себя в субъекты, разрешенные для получения управляемого поля пароля dMSA во время миграции.
30 %	Получение ключа dMSA — это событие регистрируется, когда клиент Kerberos пытается получить ключи для dMSA из контроллера домена.

См. также

• New-ADServiceAccount
• Complete-ADServiceAccountMigration
• Reset-ADServiceAccountMigration
• Start-ADServiceAccountMigration
• Undo-ADServiceAccountMigration