Dela via

Köra utvärderingar med hanterade tjänstkonton

  • Artikel

Hanterade tjänstkonton (MSA) är en typ av säkerhetsobjekt som är tillgänglig i aktuella versioner av Active Directory Domain Services. De delar egenskaper för både dator- och användarsäkerhetsobjekt. De kan läggas till i säkerhetsgrupper, kan autentisera och komma åt resurser i ett nätverk. De är avsedda att användas av tjänster, IIS-programpooler och schemalagda aktiviteter.

Fördelar med hanterade tjänstkonton

Hanterade tjänstkonton hanterar de specifika utmaningar som användarkonton innebär för att köra tjänster, schemalagda aktiviteter och IIS-programpooler:

  • Automatisk lösenordshantering
  • Förenklad hantering av tjänstens huvudnamn (SPN)
  • Kan inte användas för att logga in interaktivt på Windows
  • Kontrollera enkelt vilka datorer som har rätt att autentisera hanterade tjänstkonton och köra kod i sitt sammanhang

Utvärderingar på begäran som kan använda hanterade tjänstkonton

Hanterade tjänstkonton kan konfigureras för att köra följande utvärderingar på begäran

  • Active Directory
  • Active Directory Security
  • System Center Configuration Manager
  • SharePoint
  • SQL Server
  • Windows Client
  • Windows Server

Obs!

Hanterade tjänstkonton stöds inte officiellt av Microsofts kundtjänst för vissa miljökonfigurationer. Även om de fungerar i de flesta fall kan det vara nödvändigt att använda ett domänkonto när miljökonfigurationer förhindrar användning av ett hanterat tjänstkonto.

Etablera hanterade tjänstkonton

Ett förhandskrav för att konfigurera en schemalagd utvärderingsuppgift så att den körs som ett hanterat tjänstkonto är att etablera eller skapa det hanterade tjänstkontot i Active Directory Domain Services. Var och en av de utvärderingar som stöds anger auktoriserings- och åtkomstkraven för det kontot med den schemalagda uppgiften som ska köras. Läs kom igång-dokumenten för de utvärderingar som stöds och dokumenten med förhandskraven för att få information om åtkomstkrav för kontot med den schemalagda uppgiften.

Det finns två typer av hanterade tjänstkonton. Båda typerna kan konfigureras för den schemalagda utvärderingsuppgiften för de utvärderingar som stöds:

  • Fristående hanterade tjänstkonton (kallas även virtuella konton) kan endast auktoriseras för autentisering på en enda domänansluten dator.
  • Grupphanterade tjänstkonton kan auktoriseras för autentisering på flera domändatorer.

Windows PowerShell Active Directory-modulen krävs för att etablera och konfigurera båda typerna av hanterade tjänstkonton. Domänkontrollanter har normalt den här PowerShell-modulen installerad under installationen av domänkontrollantrollen.

Modulen, som är en komponent bland Remote Server Administrator-verktygen, kan läggas till i Windows Server-SKU via Serverhanteraren. Modulen kan också läggas till i Windows 10.

Scenario 1 – Fristående hanterat tjänstkonto (sMSA)

Active Directory Domain Services skogsschema måste vara minst Windows Server 2008 R2 för att etablera fristående hanterade tjänstkonton. Datorer som kör schemalagda aktiviteter som fristående hanterat tjänstkonto måste köra Windows Server 2012 eller senare.

Det finns tre steg för att etablera ett fristående hanterat tjänstkonto för att köra utvärderingar på begäran:

  1. Skapa det fristående hanterade tjänstkontot med hjälp av PowerShell-cmdlet:en New-ADServiceAccount.
  2. Ge datainsamlingsmaskinen behörighet att hämta lösenordet till det fristående hanterade tjänstkontot med hjälp av cmdleten Add-ADComputerServiceAccount PowerShell.
  3. Ge sMSA den åtkomst till miljön som krävs i dokumentationen om förhandskrav för den relevanta utvärderingen som konfigureras.

Skapa fristående hanterat tjänstkonto

För att skapa det fristående hanterade tjänstkontot kör du följande kommando i en PowerShell-session från en domänkontrollant eller domänmedlem med Windows PowerShell Active Directory-modulen installerad med ett konto med nödvändig behörighet för att skapa konton i Active Directory (kontoadministratörer eller domänadministratörer har som standard den behörighet som krävs).

New-ADServiceAccount -Name <sMSAaccountname>  -RestrictToSingleComputer

Till exempel: PS C:> New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer

Ge datainsamlingsmaskinen behörighet att använda fristående hanterat tjänstkonto

För att datainsamlingsmaskinen ska få lösenordet till det fristående hanterade tjänstkontot kör du följande kommando inom en PowerShell-session från en domänkontrollant eller domänmedlem med Windows PowerShell Active Directory-modulen installerad med ett konto med nödvändig behörighet för att skapa konton i Active Directory (kontoadministratörer eller domänadministratörer har som standard den behörighet som krävs).

Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”

Till exempel: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"

Installera sMSA på datorn för datainsamling

Förhandscachelagring av sMSA på datainsamlingsdatorn är ett viktigt valideringssteg för att säkerställa att kontot är korrekt tillhandahållet och datainsamlingsdatorn kan hämta sMSA-lösenordet framgångsrikt och använda kontot. Från datainsamlingsdagorn med Active Directory Powershell-modulen installerad kör du följande:

Install-ADServiceAccount -Identity “sMSA samaccountname”

Till exempel: Install-ADServiceAccount -Identity "sMSA-SVC$"

Obs!

Om felmeddelandet cmdlet hittades inte returneras, installera då Active Directory Powershell-modulen såsom det beskrivs i Provisionshanterade servicekonton ovan.

För andra fel, se händelseloggen för Microsoft-Windows-säkerhet/Netlogon/driftloggen för händelser för MSA kategori.

Scenario 2 – Grupphanterat tjänstkonto (gMSA)

Active Directory Domain Services skogsschema måste vara minst Windows Server 2012 för att etablera grupphanterade tjänstkonton. Datorer som kör schemalagda aktiviteter som grupphanterat tjänstkonto måste köra Windows Server 2012 eller senare.

Det finns tre steg för att etablera ett grupphanterat tjänstkonto för att köra utvärderingar på begäran:

  1. Skapa KDS-rotnyckeln för nyckeldistributionstjänster i Active Directory med Add-KDSRootKey
  2. Skapa det grupphanterade tjänstkontot och ge datainsamlingsmaskinen behörighet till det grupphanterade tjänstkontot med hjälp av PowerShell-cmdleten New-ADServiceAccount.
  3. Ge det grupphanterade tjänstkontot den åtkomst till miljön som krävs i dokumentationen om förhandskrav för den relevanta utvärderingen som konfigureras.

Etablera KDS-rotnyckel

KDS-rotnyckeln måste först skapas om den aldrig har skapats i Active Directory-skogen.  För att ta reda på om det finns en befintlig KDS-rotnyckel ska du köra följande kommando inifrån en PowerShell-session.

Get-KdsRootKey

Obs!

Om ingenting returneras från det här kommandot finns det ingen rotnyckel i Active Directory-skogen.

För att skapa KDS-rotnyckeln kör du följande kommando i en PowerShell-session från en domänkontrollant eller domänmedlem med Windows PowerShell Active Directory-modulen installerad med ett konto med nödvändig behörighet för att skapa konton i Active Directory (företagsadministratörer eller domänadministratörer i skogens rotdomän har som standard den behörighet som krävs).

Add-KdsRootKey -EffectiveImmediately

Add-KdsRootKey -EffectiveImmediately gör att du kan skapa grupphanterade tjänstkonton efter 10 timmar för att säkerställa att replikeringen har konvergerats till alla domänkontrollanter.

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) gör att du kan skapa grupphanterade tjänstkonton omedelbart.

Den här metoden medför vissa risker för att skapandet eller användningen av det grupphanterade tjänstkontot (gMSA) misslyckas om AD-replikeringens konvergens i hela skogen tar flera timmar under normal drift.

Skapa grupphanterat tjänstkonto

För att skapa det grupphanterade tjänstkontot kör du följande kommando i en PowerShell-session från en domänkontrollant eller domänmedlem med Windows PowerShell Active Directory-modulen installerad med ett konto med nödvändig behörighet för att skapa konton i Active Directory (kontoadministratörer eller domänadministratörer har som standard den behörighet som krävs).

New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”

Till exempel: PS C:> New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"

Installera gMSA på datorn för datainsamling

Cache-lagring på förhand av gMSA på datainsamlingsdatorn är ett viktigt valideringssteg för att säkerställa att kontot är korrekt tillhandahållet och datainsamlingsdatorn kan hämta gMSA-lösenordet framgångsrikt och använda kontot. Från datainsamlingsdagorn med Active Directory Powershell-modulen installerad kör du följande:

Install-ADServiceAccount -Identity “gMSA samaccountname”

Till exempel: Install-ADServiceAccount -Identity "gMSA-SVC$"

Obs!

Om felmeddelandet cmdlet hittades inte returneras, installera då Active Directory Powershell-modulen såsom det beskrivs i Provisionshanterade servicekonton ovan.

För andra fel, se händelseloggen för Microsoft-Windows-säkerhet/Netlogon/driftloggen för händelser för MSA kategori.