Dela via


Kom igång med grupphanterade tjänstkonton

I den här artikeln lär du dig hur du aktiverar och använder grupphanterade tjänstkonton (gMSA) i Windows Server.

Autentiseringsprotokoll som stöder ömsesidig autentisering, till exempel Kerberos, kan inte användas om inte alla instanser av tjänsterna använder samma huvudnamn. Till exempel när en klientdator ansluter till en tjänst som använder belastningsutjämning eller en annan metod där alla servrar verkar vara samma tjänst för klienten. Det innebär att varje tjänst måste använda samma lösenord eller nycklar för att bevisa sin identitet. Grupphanterade tjänstkonton är en typ av konto som kan användas med flera servrar. En gMSA är ett domänkonto som kan användas för att köra tjänster på flera servrar utan att behöva hantera lösenordet. GMSA tillhandahåller automatisk lösenordshantering och förenklad hantering av tjänstens huvudnamn (SPN), inklusive delegering av hantering till andra administratörer.

Anmärkning

Redundanskluster stöder inte gMSAs. Tjänster som körs ovanpå klustertjänsten kan dock använda en gMSA eller en sMSA om de är en Windows-tjänst, en apppool, en schemalagd uppgift eller har inbyggt stöd för gMSA eller sMSA.

Tjänster kan välja det huvudnamn som ska användas. Varje huvudtyp stöder olika tjänster och har olika begränsningar.

Ansvariga Tjänster som stöds Lösenordshantering
Datorkonto för Windows-system Begränsad till en domänansluten server Datorn hanterar
Datorkonto utan Windows-system Alla domänanslutna servrar Ingen
Virtuellt konto Begränsad till en server Dator hanterar
Windows fristående hanterat tjänstkonto Begränsad till en domänansluten server Datorn hanterar
Användarkonto Alla domänanslutna servrar Ingen
Grupphanterat tjänstkonto Alla domänanslutna Windows Server-servrar Domänkontrollanten hanterar och värden hämtar

Ett Windows-datorkonto, ett fristående Hanterat Windows-tjänstkonto (sMSA) eller virtuella konton kan inte delas mellan flera system. När du använder virtuella konton är identiteten också lokal för datorn och identifieras inte av domänen. Om du konfigurerar ett konto för att dela tjänster på serverfarmar, måste du välja ett användarkonto eller ett datorkonto utöver ett Windows-system. Hur som helst har dessa konton inte funktionen för lösenordshantering med en kontrollpunkt. Utan lösenordshantering måste varje organisation uppdatera nycklar för tjänsten i Active Directory och distribuera dessa nycklar till alla instanser av dessa tjänster.

Med Windows Server behöver tjänster och tjänstadministratörer inte hantera lösenordssynkronisering mellan tjänstinstanser när du använder gMSA. Du skapar gMSA i Active Directory och konfigurerar sedan tjänsten som stöder hanterade tjänstkonton. Användningen av gMSA är begränsad till alla datorer som kan använda LDAP för att hämta gMSA:s autentiseringsuppgifter. Du kan skapa en gMSA med hjälp av de New-ADServiceAccount cmdletar som ingår i Active Directory-modulen. Följande tjänster stöder konfigurationen av tjänstidentiteten på värddatorn.

  • Samma API:er som sMSA, så produkter som stöder sMSA stöder gMSA

  • Tjänster som använder Service Control Manager för att konfigurera inloggningsidentitet

  • Tjänster som använder IIS-hanteraren för programpooler för att konfigurera identitet

  • Aktiviteter som använder Schemaläggaren.

Förutsättningar

I följande tabell visas operativsystemkraven för Kerberos-autentisering för att fungera med tjänster med hjälp av gMSA. Active Directory-kraven visas efter tabellen.

En 64-bitars arkitektur krävs för att köra Windows PowerShell-kommandon som används för att administrera gMSA.

Operativsystem

Komponent Krav
Klientapplikationsvärd RFC-kompatibel Kerberos-klient
Användarkontots domän-DCs RFC-kompatibel KDC
Medlemmar som värdar för delad tjänst
Medlemsvärdens domän-DCs RFC-kompatibel KDC
gMSA-kontots domän-DCs Windows Server 2012-domänkontrollanter som är tillgängliga för värdenheten för att hämta lösenordet
Serverdelstjänstvärd RFC-kompatibel Kerberos-programserver
Serverdelstjänstkontots domän-DCs RFC-kompatibel KDC
Windows PowerShell för Active Directory Fjärrserveradministratörsverktyg för Active Directory Domain Services

Active Directory-domäntjänster

Grupphanterade tjänstkonton har följande krav i Active Directory Domain Services (AD DS).

  • Active Directory-domänen och skogens funktionsnivå måste vara Windows Server 2012 eller senare. Mer information om hur du uppdaterar schemat finns i Hur du höjer de funktionella nivåerna för domän och skog i Active Directory.

  • Om du hanterar tjänstens värdbehörighet för att använda gMSA efter grupp ska du använda en ny eller befintlig säkerhetsgrupp.

  • Om du hanterar tjänståtkomstkontroll efter grupp, så ny eller befintlig säkerhetsgrupp.

  • Nyckeldistributionstjänster (KDS) rotnyckel för Active Directory måste skapas i domänen. Resultatet av dess skapande kan verifieras i KdsSvc-driftloggen Event ID 4004. Mer information om hur du skapar rotnyckeln för KDS (kdssvc.dll) finns i Skapa KDS-rotnyckeln för nyckeldistributionstjänster.

Distribuera en ny servergrupp

Processen att skapa och hantera en servergrupp med hjälp av gMSA-funktionen omfattar vanligtvis följande uppgifter.

  • Distribuera en ny servergrupp

  • Lägga till medlemsvärdar i en befintlig serverfarm

  • Inaktivera medlemsvärdar från en befintlig servergrupp

  • Inaktivera en befintlig servergrupp

  • Ta bort en komprometterad medlemsvärd från en servergrupp om det behövs

När tjänstadministratören distribuerar en ny servergrupp måste de fastställa följande information.

  • Tjänsten stöder användning av gMSAs

  • Tjänsten kräver inkommande eller utgående autentiserade anslutningar

  • Datorkontonamnen för de värdar som är medlemmar och använder tjänsten via gMSA

  • NetBIOS-namnet för tjänsten

  • DNS-värdnamnet för tjänsten

  • Tjänstens huvudnamn (SPN) för tjänsten

  • Lösenordsändringsintervallet (standardvärdet är 30 dagar)

Skapa grupphanterade tjänstkonton

Du kan bara skapa en gMSA om skogsschemat är Windows Server 2012 eller senare. Du måste också distribuera KDS-rotnyckeln för Active Directory och ha minst en Windows Server 2012 eller senare domänkontrollant i domänen där du vill skapa en gMSA.

Viktigt!

gMSA-kontonamn måste vara unika inom en skogsnivå och inte bara en domän. Försök att skapa ett gMSA-konto med ett duplicerat namn misslyckas, även i olika domäner.

Medlemskap i domänadministratörer eller möjligheten att skapa msDS-GroupManagedServiceAccount objekt är det minsta som krävs för att slutföra följande procedurer.

Följ dessa steg om du vill skapa en gMSA med Hjälp av PowerShell.

  1. På Windows Server 2012-domänkontrollanten kör du Windows PowerShell från Aktivitetsfältet.

  2. I kommandotolken för Windows PowerShell skriver du följande kommandon och trycker sedan på RETUR. Active Directory-modulen läses in automatiskt.

    New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]

    Anmärkning

    Ett värde för parametern -Name krävs alltid (oavsett om du anger -Name eller inte), där -DNSHostName, -RestrictToSingleComputeroch -RestrictToOutboundAuthentication är sekundära krav för de tre distributionsscenarierna.

    Parameter Sträng Exempel
    Namn Namnet på kontot ITFarm1
    DNS-värdnamn DNS-värdnamnet för tjänsten ITFarm1.contoso.com
    KerberosEncryptionType Alla krypteringstyper som stöds av värdservrarna Ingen, RC4, AES128, AES256
    HanteratLösenordsintervallIDagar Intervall för lösenordsändring i dagar (standardvärdet är 30 dagar om det inte anges) 90
    Principaler som tillåts hämta hanterade lösenord Datorkontona för medlemsvärdarna eller säkerhetsgruppen som medlemsvärdarna är medlem i ITFarmHosts
    SamAccountName NetBIOS-namn för tjänsten om det inte är samma som Namn ITFarm1
    Tjänstehuvudnamn Tjänstens huvudnamn (SPN) för tjänsten http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

    Viktigt!

    Lösenordsändringsintervallet kan bara anges när du skapar det. Om du behöver ändra intervallet måste du skapa en ny gMSA och ange den vid skapandetillfället.

    Använd till exempel följande kommando för att skapa en ny gMSA med namnet ITFarm1 för gruppen. Med gMSA kan tjänsten använda Kerberos-krypteringstyperna RC4, AES128 och AES256. Tjänsten kan använda SPN:erna http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.comoch http/ITFarm1/contoso.

    Ange kommandot på en enda rad, även om de kan visas ordomslutna över flera rader här på grund av formateringsbegränsningar.

     New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
    

Medlemskap i domänadministratörer, kontooperatörereller möjlighet att skapa msDS-GroupManagedServiceAccount objekt är det minsta som krävs för att slutföra den här proceduren. Detaljerad information om hur du använder lämpliga konton och gruppmedlemskap finns i Active Directory-säkerhetsgrupper.

Följ stegen för att skapa en gMSA för utgående autentisering endast med Hjälp av PowerShell.

  1. På Windows Server 2012-domänkontrollanten kör du Windows PowerShell från Aktivitetsfältet.

  2. Använd följande kommando i kommandotolken för Windows PowerShell Active Directory-modulen.

    New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]

    I exemplet skapas en gMSA med hjälp av parametrarna i följande tabell.

    Parameter Sträng Exempel
    Namn Namnge kontot ITFarm1
    HanteratLösenordsintervallIDagar Intervall för lösenordsändring i dagar (standardvärdet är 30 dagar om det inte anges) 75
    Principaler som tillåts hämta hanterade lösenord Datorkontona för medlemsvärdarna eller säkerhetsgruppen som medlemsvärdarna är medlem i ITFarmHosts

    Viktigt!

    Lösenordsändringsintervallet kan bara anges när du skapar det. Om du behöver ändra intervallet måste du skapa en ny gMSA och ange den vid skapandetillfället.

    Exempelkommandot använder dessa parametrar enligt följande.

    New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
    

Konfigurera applikationstjänst för tjänstidentitet

Information om hur du konfigurerar tjänsterna i Windows Server finns i följande artiklar:

Andra tjänster kan ha stöd för gMSA. Mer information om hur du konfigurerar tjänsterna finns i lämplig produktdokumentation.

Lägg till medlemsvärdar i en befintlig serverfarm

Om du använder säkerhetsgrupper för att hantera medlemsvärdar lägger du till datorkontot för den nya medlemsvärden i säkerhetsgruppen (som gMSA:s medlemsvärdar är medlem i) med någon av följande metoder.

Medlemskap i domänadministratörer, eller möjligheten att lägga till medlemmar i säkerhetsgruppsobjektet, är det minsta som krävs för att slutföra dessa procedurer.

Om du använder datorkonton letar du upp de befintliga kontona och lägger sedan till det nya datorkontot.

Medlemskap i domänadministratörer, kontoansvarigaeller möjlighet att hantera msDS-GroupManagedServiceAccount objekt är det minsta som krävs för att slutföra den här proceduren. Detaljerad information om hur du använder lämpliga konton och gruppmedlemskap finns i Lokala och Domänstandardgrupper.

Lägga till medlemsvärdar med PowerShell

  1. På Windows Server 2012-domänkontrollanten kör du Windows PowerShell från Aktivitetsfältet.

  2. I kommandotolken för Windows PowerShell Active Directory-modulen skriver du följande kommandon och trycker sedan på RETUR:

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. I kommandotolken för Windows PowerShell Active Directory-modulen skriver du följande kommandon och trycker sedan på RETUR:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

I följande exempel läggs en medlem till i en servergrupp med hjälp av parametrarna i tabellen.

Parameter Sträng Exempel
Namn Namnge kontot ITFarm1
Principaler som tillåts hämta hanterade lösenord Datorkontona för medlemsvärdarna eller säkerhetsgruppen som medlemsvärdarna är medlem i Host1, Host2, Host3

I följande exempel hämtas de aktuella medlemmarna i serverfarmen ITFarm1.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

I följande exempel läggs värdar till i en befintlig servergrupp ITFarm1.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

Uppdatera gMSA-egenskaperna

Medlemskap i Domänadministratörer, Kontoansvariga, eller möjligheten att skriva till msDS-GroupManagedServiceAccount-objekt, är det minsta som krävs för att slutföra dessa procedurer.

Öppna Active Directory-modulen för Windows PowerShell och ange alla egenskaper med hjälp av cmdleten Set-ADServiceAccount.

Detaljerad information om hur du anger dessa egenskaper finns i Set-ADServiceAccount i TechNet-biblioteket eller genom att skriva Get-Help Set-ADServiceAccount i Active Directory-modulen för Windows PowerShell-kommandotolken och trycka på RETUR.

Ta bort medlemsservrar från en befintlig servergrupp

Medlemskap i domänadministratörer, eller möjlighet att ta bort medlemmar från säkerhetsgruppsobjektet, är det minsta som krävs för att slutföra dessa procedurer.

Om du använder säkerhetsgrupper för att hantera medlemsvärdar, ta bort datorkontot för den avvecklade medlemsvärden från säkerhetsgruppen som gMSA:s medlemsvärdar är medlemmar i, med hjälp av någon av följande metoder.

Om du listar datorkonton hämtar du de befintliga kontona och lägger sedan till alla utom det borttagna datorkontot.

Medlemskap i domänadministratörer, kontoansvarigaeller möjlighet att hantera msDS-GroupManagedServiceAccount objekt är det minsta som krävs för att slutföra den här proceduren. Detaljerad information om hur du använder lämpliga konton och gruppmedlemskap finns i Lokala och Domänstandardgrupper.

Ta bort medlemsvärdar med PowerShell

  1. På Windows Server 2012-domänkontrollanten kör du Windows PowerShell från Aktivitetsfältet.

  2. I kommandotolken för Windows PowerShell Active Directory-modulen skriver du följande kommandon och trycker sedan på RETUR:

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. I kommandotolken för Windows PowerShell Active Directory-modulen skriver du följande kommandon och trycker sedan på RETUR:

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Exemplet tar bort en medlem till en servergrupp med hjälp av parametrarna i följande tabell.

Parameter Sträng Exempel
Namn Namnge kontot ITFarm1
Principaler som tillåts hämta hanterade lösenord Datorkontona för medlemsvärdarna eller säkerhetsgruppen som medlemsvärdarna är medlem i Host1, Host3

I följande exempel hämtas de nuvarande medlemmarna i farmen ITFarm1.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

I följande exempel tas medlemsvärdar bort från en befintlig servergrupp ITFarm1.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

Ta bort gMSA från systemet

Ta bort cachelagrade gMSA-autentiseringsuppgifter från medlemsvärden med hjälp av Uninstall-ADServiceAccount eller NetRemoveServiceAccount-API:et i värdsystemet.

Medlemskap i administratörer, eller motsvarande, är det minsta som krävs för att slutföra dessa procedurer.

Ta bort gMSA med PowerShell

  1. På Windows Server 2012-domänkontrollanten kör du Windows PowerShell från Aktivitetsfältet.

  2. I kommandotolken för Windows PowerShell Active Directory-modulen skriver du följande kommandon och trycker sedan på RETUR:

    Uninstall-ADServiceAccount <ADServiceAccount>

    I följande exempel avinstalleras ett Active Directory-hanterat tjänstkonto från en dator.

    Uninstall-ADServiceAccount ITFarm1
    

Mer information om cmdleten Uninstall-ADServiceAccount finns i Active Directory-modulen för Windows PowerShell-kommandotolken genom att skriva Get-Help Uninstall-ADServiceAccountoch sedan trycka på RETUR, eller besöka TechNet-webben på Uninstall-ADServiceAccount.