Konfigurera Kerberos-begränsad delegering (KCD) i Microsoft Entra Domain Services

När du kör program kan det finnas ett behov för dessa program att komma åt resurser i kontexten för en annan användare. Active Directory-domän Services (AD DS) stöder en mekanism som kallas Kerberos-delegering som aktiverar det här användningsfallet. Kerberos-begränsad delegering (KCD) bygger sedan på den här mekanismen för att definiera specifika resurser som kan nås i kontexten för användaren.

Microsoft Entra Domain Services-hanterade domäner är säkrare låsta än traditionella lokala AD DS-miljöer, så använd en säkrare resursbaserad KCD.

Den här artikeln visar hur du konfigurerar resursbaserad Kerberos-begränsad delegering i en domän som hanteras av Domain Services.

Förutsättningar

För att slutföra den här artikeln behöver du följande resurser:

• En aktiv Azure-prenumeration.
  • Om du inte har en Azure-prenumeration skapar du ett konto.
• En Microsoft Entra-klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en katalog som endast är molnbaserad.
  • Om det behövs skapar du en Microsoft Entra-klientorganisation eller associerar en Azure-prenumeration med ditt konto.
• En hanterad domän i Microsoft Entra Domain Services har aktiverats och konfigurerats i din Microsoft Entra-klientorganisation.
  • Om det behövs skapar och konfigurerar du en hanterad Domän för Microsoft Entra Domain Services.
• En virtuell Windows Server-hanteringsdator som är ansluten till den hanterade domänen Domain Services.
  • Om det behövs slutför du självstudien för att skapa en virtuell Windows Server-dator och ansluta den till en hanterad domän och installera sedan AD DS-hanteringsverktygen.
• Ett användarkonto som är medlem i gruppen Microsoft Entra DC-administratörer i din Microsoft Entra-klientorganisation.

Översikt över Kerberos begränsad delegering

Med Kerberos-delegering kan ett konto personifiera ett annat konto för åtkomst till resurser. Till exempel kan ett webbprogram som har åtkomst till en serverdelswebbkomponent personifiera sig själv som ett annat användarkonto när det upprättar serverdelsanslutningen. Kerberos-delegeringen är osäker eftersom den inte begränsar vilka resurser som personifieringskontot kan komma åt.

Kerberos-begränsad delegering (KCD) begränsar de tjänster eller resurser som en angiven server eller ett visst program kan ansluta när en annan identitet personifieras. Traditionell KCD kräver domänadministratörsbehörighet för att konfigurera ett domänkonto för en tjänst, och det begränsar kontot till att köras på en enda domän.

Traditionell KCD har också några problem. I tidigare operativsystem hade tjänstadministratören till exempel inget användbart sätt att veta vilka klientdelstjänster som delegerades till de resurstjänster som de ägde. Alla klientdelstjänster som kunde delegeras till en resurstjänst var en potentiell attackpunkt. Om en server som var värd för en klientdelstjänst som konfigurerats för att delegera till resurstjänster komprometterades kan även resurstjänsterna komprometteras.

I en hanterad domän har du inte domänadministratörsbehörighet. Därför kan inte traditionell kontobaserad KCD konfigureras i en hanterad domän. Resursbaserad KCD kan i stället användas, vilket också är säkrare.

Resursbaserad KCD

Windows Server 2012 och senare ger tjänstadministratörer möjlighet att konfigurera begränsad delegering för tjänsten. Den här modellen kallas resursbaserad KCD. Med den här metoden kan serverdelstjänstadministratören tillåta eller neka specifika klientdelstjänster från att använda KCD.

Resursbaserad KCD konfigureras med hjälp av PowerShell. Du använder cmdletarna Set-ADComputer eller Set-ADUser , beroende på om personifieringskontot är ett datorkonto eller ett användarkonto/tjänstkonto.

Konfigurera resursbaserad KCD för ett datorkonto

I det här scenariot antar vi att du har en webbapp som körs på datorn med namnet contoso-webapp.aaddscontoso.com.

Webbappen måste komma åt ett webb-API som körs på datorn med namnet contoso-api.aaddscontoso.com i kontexten för domänanvändare.

Utför följande steg för att konfigurera det här scenariot:

1. Skapa en anpassad organisationsenhet. Du kan delegera behörigheter för att hantera den här anpassade organisationsenheten till användare i den hanterade domänen.

2. Domänanslut de virtuella datorerna, både den som kör webbappen och den som kör webb-API:et, till den hanterade domänen. Skapa dessa datorkonton i den anpassade organisationsenheten från föregående steg.

   Kommentar

   Datorkontona för webbappen och webb-API:et måste finnas i en anpassad organisationsenhet där du har behörighet att konfigurera resursbaserad KCD. Du kan inte konfigurera resursbaserad KCD för ett datorkonto i den inbyggda Containern Microsoft Entra DC Computers .

3. Konfigurera slutligen resursbaserad KCD med hjälp av PowerShell-cmdleten Set-ADComputer .

   Kör följande cmdletar från den domänanslutna hanteringsdatorn och inloggad som användarkonto som är medlem i gruppen Microsoft Entra DC-administratörer . Ange egna datornamn efter behov:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Konfigurera resursbaserad KCD för ett användarkonto

I det här scenariot antar vi att du har en webbapp som körs som ett tjänstkonto med namnet appsvc. Webbappen måste komma åt ett webb-API som körs som ett tjänstkonto med namnet backendsvc i kontexten för domänanvändare. Utför följande steg för att konfigurera det här scenariot:

1. Skapa en anpassad organisationsenhet. Du kan delegera behörigheter för att hantera den här anpassade organisationsenheten till användare i den hanterade domänen.

2. Domänanslut de virtuella datorer som kör serverdelswebb-API:et/resursen till den hanterade domänen. Skapa sitt datorkonto i den anpassade organisationsenheten.

3. Skapa tjänstkontot (till exempel appsvc) som används för att köra webbappen i den anpassade organisationsenheten.

   Kommentar

   Återigen måste datorkontot för den virtuella webb-API:n och tjänstkontot för webbappen finnas i en anpassad organisationsenhet där du har behörighet att konfigurera resursbaserad KCD. Du kan inte konfigurera resursbaserad KCD för konton i de inbyggda Microsoft Entra DC-datorerna eller Microsoft Entra DC Users-containrarna . Det innebär också att du inte kan använda användarkonton som synkroniserats från Microsoft Entra-ID för att konfigurera resursbaserad KCD. Du måste skapa och använda tjänstkonton som skapats specifikt i Domain Services.

4. Konfigurera slutligen resursbaserad KCD med hjälp av PowerShell-cmdleten Set-ADUser .

   Kör följande cmdletar från den domänanslutna hanteringsdatorn och inloggad som användarkonto som är medlem i gruppen Microsoft Entra DC-administratörer . Ange dina egna tjänstnamn efter behov:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Nästa steg

Mer information om hur delegering fungerar i Active Directory-domän Services finns i Översikt över Kerberos-begränsad delegering.