Поделиться через


Начало работы с групповыми управляемыми учетными записями служб

В этой статье описано, как включить и использовать управляемые группы учетные записи служб (gMSA) в Windows Server.

Протоколы проверки подлинности, поддерживающие взаимную проверку подлинности, например Kerberos, нельзя использовать, если только все экземпляры служб не используют один и тот же субъект. Например, когда клиентский компьютер подключается к службе, использующую балансировку нагрузки или другой метод, где все серверы, как представляется, одинаковы для клиента. Это означает, что каждая служба должна использовать одни и те же пароли или ключи, чтобы подтвердить свою личность. Учетные записи управляемых групп — это тип учетной записи, которую можно использовать с несколькими серверами. GMSA — это учетная запись домена, которая может использоваться для запуска служб на нескольких серверах без необходимости управлять паролем. GMSA обеспечивает автоматическое управление паролями и упрощенное управление именем субъекта-службы, включая делегирование управления другим администраторам.

Примечание.

Отказоустойчивые кластеры не поддерживают GMSAs. При этом групповую или автономную учетную запись службы могут использовать службы, работающие поверх службы кластеров и представляющие собой службу Windows, пул приложений или назначенную задачу либо поддерживающие такие учетные записи изначально.

Службы могут выбрать субъект для использования. Каждый тип субъекта поддерживает разные службы и имеет разные ограничения.

Субъекты Поддерживаемые службы Управление паролями
Учетная запись компьютера в системе Windows Ограничена одним сервером в домене Управляется компьютером
Учетная запись компьютера без системы Windows Любой сервер в домене нет
Виртуальная учетная запись Ограничена одним сервером Управляется компьютером
Автономная управляемая учетная запись службы Windows Ограничена одним сервером в домене Управляется компьютером
Учетная запись пользователя Любой сервер в домене нет
Групповая управляемая учетная запись службы Любой сервер, присоединенный к домену Windows Server Управляется контроллером домена и извлекается узлом

Учетная запись компьютера Windows, автономная управляемая учетная запись службы Windows (sMSA) или виртуальные учетные записи не могут быть общими для нескольких систем. При использовании виртуальных учетных записей удостоверение также является локальным для компьютера и не распознается доменом. Если вы настраиваете учетную запись, которая будет использоваться различными службами на фермах серверов, выберите учетную запись пользователя или учетную запись не в системе Windows. В любом случае эти учетные записи не имеют возможности управления паролями с одной точкой управления. Без управления паролями каждая организация должна обновить ключи для службы в Active Directory и распространить эти ключи ко всем экземплярам этих служб.

В Windows Server службы и администраторы служб не должны управлять синхронизацией паролей между экземплярами служб при использовании gMSA. Вы создаете gMSA в Active Directory и настраиваете службу, которая поддерживает управляемые учетные записи служб. Использование gMSA распространяется на любой компьютер, который может использовать LDAP для получения учетных данных gMSA. Вы можете создать gMSA с помощью New-ADServiceAccount командлетов, входящих в модуль Active Directory. Следующие службы поддерживают конфигурацию удостоверения службы на узле.

  • Те же API, что и sMSA, поэтому продукты, поддерживающие sMSA, поддерживают gMSA

  • Службы, использующие Service Control Manager для настройки удостоверения входа

  • Службы, использующие диспетчер IIS для пулов приложений для настройки удостоверения

  • задачи, использующие планировщик заданий.

Необходимые компоненты

В приведенной ниже таблице указаны требования к операционной системе, которые должны выполняться для работы проверки подлинности Kerberos со службами, использующими групповые управляемые учетные записи служб. Требования Active Directory перечислены под таблицей.

64-разрядная архитектура необходима для выполнения команд Windows PowerShell, используемых для администрирования gMSA.

Операционная система

Элемент Требование
Узел клиентского приложения RFC-совместимый клиент Kerberos
Контроллеры домена учетной записи пользователя RFC-совместимый KDC
Узлы, входящие в службу общего доступа
Контроллеры домена узла-члена RFC-совместимый KDC
Контроллеры домена учетной записи gMSA Контроллеры домена Windows Server 2012, доступные для узла для получения пароля
Узел внутренней службы RFC-совместимый сервер приложений Kerberos
Контроллеры домена учетной записи серверной службы RFC-совместимый KDC
Windows PowerShell для Active Directory Средства удаленного администратора серверов служб домен Active Directory

Доменные службы Active Directory

Учетные записи управляемых групп имеют следующие требования в службах домен Active Directory (AD DS).

  • Функциональный уровень домена и леса Active Directory должен быть Windows Server 2012 или более поздней версии. Дополнительные сведения об обновлении схемы см. в статье "Как повысить уровень функциональности домена и леса Active Directory".

  • Если вы управляете разрешением узла службы на использование gMSA по группам, то новая или существующая группа безопасности.

  • Если управление доступом к службе управляется группой, то новая или существующая группа безопасности.

  • Корневой ключ служб распространения ключей (KDS) для Active Directory должен быть создан в домене. Результат его создания можно проверить в журнале операций KdsSvc. Event ID 4004 Дополнительные сведения о создании корневого ключа KDS (kdssvc.dll) см. в статье "Создание корневого ключа KDS служб распространения ключей".

Развертывание новой фермы серверов

Процесс создания фермы серверов и управления ими с помощью функции gMSA обычно включает следующие задачи.

  • Развертывание фермы серверов федерации

  • Добавление узлов в существующую ферму серверов

  • Списание узлов из существующей фермы серверов

  • Списание существующей фермы серверов

  • При необходимости удаление скомпрометированного узла-члена из фермы серверов

При развертывании новой фермы серверов администратор службы должен определить следующие сведения.

  • Служба поддерживает использование gMSAs

  • Для службы требуются входящий или исходящий аутентифицированные подключения.

  • имена учетных записей компьютеров для входящих в службу узлов с использованием групповых управляемых учетных записей служб;

  • NetBIOS-имя службы;

  • имя DNS-узла службы;

  • имена субъектов-служб (SPN) для службы;

  • Интервал изменения пароля (по умолчанию — 30 дней)

Создание управляемых групп учетных записей служб

Вы можете создать gMSA только в том случае, если схема леса — Windows Server 2012 или более поздней версии. Необходимо также развернуть корневой ключ KDS для Active Directory и иметь по крайней мере один контроллер домена Windows Server 2012 или более поздней версии в домене, где требуется создать gMSA.

Внимание

Имена учетных записей gMSA должны быть уникальными на уровне леса, а не только в домене. Попытка создать учетную запись gMSA с повторяющимся именем завершится ошибкой, даже в разных доменах.

Членство в администраторах домена или возможность создания msDS-GroupManagedServiceAccount объектов является минимальным обязательным для выполнения следующих процедур.

Чтобы создать gMSA с помощью PowerShell, выполните следующие действия.

  1. На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.

  2. Введите следующие команды в командной строке Windows PowerShell и нажмите клавишу ВВОД (Модуль Active Directory загружается автоматически.)

    New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]

    Примечание.

    Для параметра всегда требуется значение -Name (указываете -Name или нет), а -DNSHostName-RestrictToSingleComputer-RestrictToOutboundAuthentication для трех сценариев развертывания — вторичные требования.

    Параметр Строка Пример
    Имя. Имя учетной записи ITFarm1
    DNSHostName Имя DNS-узла службы ITFarm1.contoso.com
    KerberosEncryptionType Любые виды шифрования, поддерживаемые серверами узлов Нет, RC4, AES128, AES256
    ManagedPasswordIntervalInDays Периодичность смены пароля в днях (если не указано, используется значение по умолчанию 30) 90
    PrincipalsAllowedToRetrieveManagedPassword Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы ITFarmHosts
    SamAccountName NetBIOS-имя службы, если не совпадает с именем ITFarm1
    ServicePrincipalNames Имена субъектов-служб (SPN) для службы http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

    Внимание

    Периодичность смены пароля можно настроить только в процессе создания. Если вам нужно изменить это значение, создайте новую групповую управляемую учетную запись службы и настройте этот параметр в процессе ее создания.

    Например, используйте следующую команду, чтобы создать новую группу gMSA ITFarm1 . GMSA позволяет службе использовать типы шифрования Kerberos RC4, AES128 и AES256. Служба может использовать имена http/ITFarm1.contoso.com/contoso.comсубъектов-служб, http/ITFarm1.contoso.com/contosohttp/ITFarm1/contoso.comа http/ITFarm1/contosoтакже .

    Введите команды в одну строку, даже если кажется, что из-за ограничений форматирования они переносятся по словам на другую строку.

     New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
    

Членство в администраторах домена, операторах учетных записей или возможности создания msDS-GroupManagedServiceAccount объектов является минимальным обязательным для выполнения этой процедуры. Подробные сведения об использовании соответствующих учетных записей и членства в группах см . в группах безопасности Active Directory.

Чтобы создать gMSA для исходящей проверки подлинности только с помощью PowerShell, выполните действия.

  1. На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.

  2. В командной строке модуля Windows PowerShell Active Directory используйте следующую команду.

    New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]

    В примере создается gMSA с помощью параметров в следующей таблице.

    Параметр Строка Пример
    Имя. Имя учетной записи ITFarm1
    ManagedPasswordIntervalInDays Периодичность смены пароля в днях (если не указано, используется значение по умолчанию 30) 75
    PrincipalsAllowedToRetrieveManagedPassword Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы ITFarmHosts

    Внимание

    Периодичность смены пароля можно настроить только в процессе создания. Если вам нужно изменить это значение, создайте новую групповую управляемую учетную запись службы и настройте этот параметр в процессе ее создания.

    В примере команды эти параметры используются следующим образом.

    New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
    

Настройка службы приложений удостоверений службы

Сведения о настройке служб в Windows Server см. в следующих статьях:

Групповые управляемые учетные записи могут поддерживать и другие службы. Информацию о настройки таких служб см. в документации к соответствующим продуктам.

Добавление узлов-членов в существующую ферму серверов

При использовании групп безопасности для управления узлами-членами добавьте учетную запись компьютера для нового узла-члена в группу безопасности (в которую входят узлы-члены gMSA) с помощью одного из следующих методов.

Минимальным требованием для выполнения этих процедур является членство в группе Администраторы доменаили наличие права на добавление объектов в группу безопасности.

Если используются учетные записи компьютеров, найдите существующие учетные записи и добавьте новую учетную запись компьютера.

Членство в администраторах домена, операторах учетных записей или возможностях управления msDS-GroupManagedServiceAccount объектами является минимальным обязательным для выполнения этой процедуры. Дополнительные сведения об использовании подходящих учетных записей и участия в группах см. в разделе Локальные группы и группы домена по умолчанию.

Добавление узлов-участников с помощью PowerShell

  1. На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.

  2. Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

В следующем примере добавляется член в ферму серверов с помощью параметров в таблице.

Параметр Строка Пример
Имя. Имя учетной записи ITFarm1
PrincipalsAllowedToRetrieveManagedPassword Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы Host1, Host2, Host3

В следующем примере возвращаются текущие члены фермы ITFarm1.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

В следующем примере узлы-члены добавляются в существующую ферму ITFarm1серверов.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

Обновление свойств gMSA

Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы доменалибо Операторы учетаили наличие права на запись в объекты msDS-GroupManagedServiceAccount.

Откройте модуль Active Directory для Windows PowerShell и задайте любое свойство с помощью командлета Set-ADServiceAccount .

Подробные сведения о настройке этих свойств см. в разделе Set-ADServiceAccount в библиотеке TechNet или вводе Get-Help Set-ADServiceAccount в модуль Active Directory для командной строки Windows PowerShell и нажатием клавиши ВВОД.

Удаление узлов-членов из существующей фермы серверов

Минимальным требованием для выполнения этих процедур является членство в группе Администраторы доменаили наличие права на удаление объектов из группы безопасности.

При использовании групп безопасности для управления узлами-участниками удалите учетную запись компьютерадляного узла из группы безопасности, в которую узлы-члены gMSA входят в состав любого из следующих методов.

  • Метод 1: Active Directory — пользователи и компьютеры

    Сведения об использовании оснастки Пользователи и компьютеры Active Directory см. в статье "Удаление учетной записи компьютера" и "Управление различными доменами" в Центре администрирования Active Directory.

  • Метод 2. drsm

    Сведения об использовании командной строки см. в разделе "Удаление учетной записи компьютера".

  • Метод 3. Командлет Windows PowerShell Active Directory Remove-ADPrincipalGroupMembership

    Сведения об использовании PowerShell см. в статье Remove-ADPrincipalGroupMembership в библиотеке TechNet или введите Get-Help Remove-ADPrincipalGroupMembership модуль Active Directory для командной строки Windows PowerShell и нажмите клавишу ВВОД.

Если используются учетные записи компьютеров, извлеките существующие учетные записи и добавьте все учетные записи компьютеров, кроме удаленных.

Членство в администраторах домена, операторах учетных записей или возможностях управления msDS-GroupManagedServiceAccount объектами является минимальным обязательным для выполнения этой процедуры. Дополнительные сведения об использовании подходящих учетных записей и участия в группах см. в разделе Локальные группы и группы домена по умолчанию.

Удаление узлов-участников с помощью PowerShell

  1. На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.

  2. Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

В примере удаляется член в ферму серверов с помощью параметров в следующей таблице.

Параметр Строка Пример
Имя. Имя учетной записи ITFarm1
PrincipalsAllowedToRetrieveManagedPassword Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы Host1, Host3

В следующем примере возвращаются текущие члены фермы ITFarm1.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

В следующем примере удаляются узлы-члены из существующей фермы ITFarm1серверов.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

Удаление gMSA из системы

Удалите кэшированные учетные данные gMSA из узла-члена, используя Uninstall-ADServiceAccount или NetRemoveServiceAccount API в хост-системе.

Минимальным требованием для выполнения этих процедур является членство в группе Администраторыили наличие эквивалентных прав.

Удаление gMSA с помощью PowerShell

  1. На контроллере домена Windows Server 2012 запустите Windows PowerShell на панели задач.

  2. Введите следующие команды в командную строку Windows PowerShell и нажмите клавишу ВВОД:

    Uninstall-ADServiceAccount <ADServiceAccount>

    В следующем примере удаляется управляемая учетная запись службы Active Directory с компьютера.

    Uninstall-ADServiceAccount ITFarm1
    

Дополнительные сведения о Uninstall-ADServiceAccount командлете см. в модуле Active Directory для командной строки Windows PowerShell, введите Get-Help Uninstall-ADServiceAccountи нажмите клавишу ВВОД или просмотрите сведения о веб-сайте TechNet в Uninstall-ADServiceAccount.