Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья для ИТ-специалистов представляет группу управляемой учетной записи службы (gMSA), описывая практические приложения, изменения в реализации Корпорации Майкрософт и требования к оборудованию и программному обеспечению.
Описание функции
Автономная управляемая учетная запись службы (sMSA) — это учетная запись управляемого домена, которая обеспечивает автоматическое управление паролями, упрощенное управление именем субъекта-службы и возможность делегировать управление другими администраторами. Администраторы доменов могут делегировать управление службами администраторам служб, способным управлять полным жизненным циклом управляемой учетной записи службы или групповой управляемой учетной записи службы. Существующие клиентские компьютеры могут аутентифицироваться в любой такой службе, не зная, к какому экземпляру службы они подключаются для аутентификации. Такой тип управляемой учетной записи службы реализован в ОС Windows Server 2008 R2 и Windows 7.
Учетная запись управляемой службы группы (gMSA) предоставляет одинаковые функции в домене, а также расширяет функциональные возможности нескольких серверов. Это минимизирует административную нагрузку при работе с учетными записями службы, позволяя Windows управлять паролями для этих учетных записей. При подключении к службе, размещенной на ферме серверов, таких как решение с балансировкой нагрузки по сети, протоколы аутентификации, поддерживающие взаимную аутентификацию, требуют, чтобы все экземпляры служб использовали один и тот же главный элемент. При использовании gMSA в качестве учетной записи службы операционная система Windows управляет паролем учетной записи вместо того, чтобы полагаться на администратора для управления паролем.
Служба распространения ключей Майкрософт (kdssvc.dll) позволяет безопасно получить последний ключ или определенный ключ с идентификатором ключа для учетной записи Active Directory. Служба распространения ключей предоставляет общий доступ к секрету, который используется для создания ключей для учетной записи. Эти ключи периодически изменяются. Для gMSA контроллер домена вычисляет пароль на ключ, предоставляемый службами распространения ключей, а также другие атрибуты gMSA. Участники сети могут получить текущие и предыдущие значения паролей, связавшись с контроллером домена.
Практическое применение
gMSAs предлагают единое решение для идентификации служб, работающих на ферме серверов или в системах с балансировкой сетевой нагрузки. Предоставляя решение gMSA, можно настроить службы для нового субъекта gMSA, при этом управление паролями осуществляет Windows.
Если службы или администраторы служб используют gMSA, им не нужно управлять синхронизацией паролей между экземплярами служб. gMSA поддерживает узлы, остающиеся в автономном режиме в течение длительного периода времени, и управляет узлами-членами во всех экземплярах службы. Вы можете развернуть ферму серверов, поддерживающую одно удостоверение, с которым могут пройти аутентификацию существующие клиентские компьютеры, не зная, к какому экземпляру службы они подключаются.
Хотя отказоустойчивые кластеры не поддерживают gMSA, службы, работающие в кластерной среде, могут использовать gMSA или sMSA, если они являются службой Windows, пулом приложений, запланированной задачей или изначально поддерживают gMSA или sMSA.
Требования к программному обеспечению
Чтобы запустить команды Windows PowerShell, необходимые для администрирования gMSAs, необходимо иметь 64-разрядную архитектуру.
Учетная запись управляемой службы зависит от поддерживаемых типов шифрования Kerberos. Когда клиентский компьютер проходит проверку подлинности на сервере с помощью Kerberos, контроллер домена создает билет службы Kerberos, защищенный шифрованием, которое поддерживает контроллер домена и сервер. Доменный контроллер использует атрибут msDS-SupportedEncryptionTypes учетной записи, чтобы определить, какое шифрование поддерживает сервер. Если атрибут отсутствует, контроллер домена обрабатывает клиентский компьютер так, словно он не поддерживает более строгие типы шифрования. Если вы настроили узел так, чтобы он не поддерживал RC4, то проверка подлинности всегда завершается ошибкой. По этой причине необходимо всегда настраивать AES для MSAs.
Примечание.
По состоянию на Windows Server 2008 R2 des отключен по умолчанию. Дополнительные сведения о поддерживаемых типах шифрования см. в статье Изменения в проверке подлинности Kerberos.
Примечание.
GMSAs не применимы к операционным системам Windows ранее, чем Windows Server 2012. Для Windows Server 2012 командлеты Windows PowerShell по умолчанию управляют gMSAs вместо управляемых сервером учетных записей служб.
Сведения о диспетчере сервера
Для реализации MSA и gMSA не требуется дополнительной настройки с помощью диспетчера сервера или Install-WindowsFeature командлета.
Следующие шаги
Вот некоторые другие ресурсы, которые можно прочитать, чтобы узнать больше об управляемых учетных записях служб.
- Документация по управляемым учетным записям служб для Windows 7 и Windows Server 2008 R2
- Пошаговое руководство по учетным записям служб
- Начало работы с групповыми управляемыми служебными учетными записями
- Управляемые учетные записи служб в службах домен Active Directory
- Управляемые учетные записи служб: общие сведения, реализация, рекомендации и устранение неполадок
- Обзор доменных служб Active Directory