Kom igång med grupphanterade tjänstkonton
I den här artikeln lär du dig hur du aktiverar och använder grupphanterade tjänstkonton (gMSA) i Windows Server.
Autentiseringsprotokoll som stöder ömsesidig autentisering, till exempel Kerberos, kan inte användas om inte alla instanser av tjänsterna använder samma huvudnamn. Till exempel när en klientdator ansluter till en tjänst som använder belastningsutjämning eller en annan metod där alla servrar verkar vara samma tjänst för klienten. Det innebär att varje tjänst måste använda samma lösenord eller nycklar för att bevisa sin identitet. Grupphanterade tjänstkonton är en typ av konto som kan användas med flera servrar. En gMSA är ett domänkonto som kan användas för att köra tjänster på flera servrar utan att behöva hantera lösenordet. GMSA tillhandahåller automatisk lösenordshantering och förenklad hantering av tjänstens huvudnamn (SPN), inklusive delegering av hantering till andra administratörer.
Anmärkning
Redundanskluster stöder inte gMSAs. Tjänster som körs ovanpå klustertjänsten kan dock använda en gMSA eller en sMSA om de är en Windows-tjänst, en apppool, en schemalagd uppgift eller har inbyggt stöd för gMSA eller sMSA.
Tjänster kan välja det huvudnamn som ska användas. Varje huvudtyp stöder olika tjänster och har olika begränsningar.
Ansvariga | Tjänster som stöds | Lösenordshantering |
---|---|---|
Datorkonto för Windows-system | Begränsad till en domänansluten server | Datorn hanterar |
Datorkonto utan Windows-system | Alla domänanslutna servrar | Ingen |
Virtuellt konto | Begränsad till en server | Dator hanterar |
Windows fristående hanterat tjänstkonto | Begränsad till en domänansluten server | Datorn hanterar |
Användarkonto | Alla domänanslutna servrar | Ingen |
Grupphanterat tjänstkonto | Alla domänanslutna Windows Server-servrar | Domänkontrollanten hanterar och värden hämtar |
Ett Windows-datorkonto, ett fristående Hanterat Windows-tjänstkonto (sMSA) eller virtuella konton kan inte delas mellan flera system. När du använder virtuella konton är identiteten också lokal för datorn och identifieras inte av domänen. Om du konfigurerar ett konto för att dela tjänster på serverfarmar, måste du välja ett användarkonto eller ett datorkonto utöver ett Windows-system. Hur som helst har dessa konton inte funktionen för lösenordshantering med en kontrollpunkt. Utan lösenordshantering måste varje organisation uppdatera nycklar för tjänsten i Active Directory och distribuera dessa nycklar till alla instanser av dessa tjänster.
Med Windows Server behöver tjänster och tjänstadministratörer inte hantera lösenordssynkronisering mellan tjänstinstanser när du använder gMSA. Du skapar gMSA i Active Directory och konfigurerar sedan tjänsten som stöder hanterade tjänstkonton. Användningen av gMSA är begränsad till alla datorer som kan använda LDAP för att hämta gMSA:s autentiseringsuppgifter. Du kan skapa en gMSA med hjälp av de New-ADServiceAccount
cmdletar som ingår i Active Directory-modulen. Följande tjänster stöder konfigurationen av tjänstidentiteten på värddatorn.
Samma API:er som sMSA, så produkter som stöder sMSA stöder gMSA
Tjänster som använder Service Control Manager för att konfigurera inloggningsidentitet
Tjänster som använder IIS-hanteraren för programpooler för att konfigurera identitet
Aktiviteter som använder Schemaläggaren.
Förutsättningar
I följande tabell visas operativsystemkraven för Kerberos-autentisering för att fungera med tjänster med hjälp av gMSA. Active Directory-kraven visas efter tabellen.
En 64-bitars arkitektur krävs för att köra Windows PowerShell-kommandon som används för att administrera gMSA.
Operativsystem
Komponent | Krav |
---|---|
Klientapplikationsvärd | RFC-kompatibel Kerberos-klient |
Användarkontots domän-DCs | RFC-kompatibel KDC |
Medlemmar som värdar för delad tjänst | |
Medlemsvärdens domän-DCs | RFC-kompatibel KDC |
gMSA-kontots domän-DCs | Windows Server 2012-domänkontrollanter som är tillgängliga för värdenheten för att hämta lösenordet |
Serverdelstjänstvärd | RFC-kompatibel Kerberos-programserver |
Serverdelstjänstkontots domän-DCs | RFC-kompatibel KDC |
Windows PowerShell för Active Directory | Fjärrserveradministratörsverktyg för Active Directory Domain Services |
Active Directory-domäntjänster
Grupphanterade tjänstkonton har följande krav i Active Directory Domain Services (AD DS).
Active Directory-domänen och skogens funktionsnivå måste vara Windows Server 2012 eller senare. Mer information om hur du uppdaterar schemat finns i Hur du höjer de funktionella nivåerna för domän och skog i Active Directory.
Om du hanterar tjänstens värdbehörighet för att använda gMSA efter grupp ska du använda en ny eller befintlig säkerhetsgrupp.
Om du hanterar tjänståtkomstkontroll efter grupp, så ny eller befintlig säkerhetsgrupp.
Nyckeldistributionstjänster (KDS) rotnyckel för Active Directory måste skapas i domänen. Resultatet av dess skapande kan verifieras i KdsSvc-driftloggen
Event ID 4004
. Mer information om hur du skapar rotnyckeln för KDS (kdssvc.dll) finns i Skapa KDS-rotnyckeln för nyckeldistributionstjänster.
Distribuera en ny servergrupp
Processen att skapa och hantera en servergrupp med hjälp av gMSA-funktionen omfattar vanligtvis följande uppgifter.
Distribuera en ny servergrupp
Lägga till medlemsvärdar i en befintlig serverfarm
Inaktivera medlemsvärdar från en befintlig servergrupp
Inaktivera en befintlig servergrupp
Ta bort en komprometterad medlemsvärd från en servergrupp om det behövs
När tjänstadministratören distribuerar en ny servergrupp måste de fastställa följande information.
Tjänsten stöder användning av gMSAs
Tjänsten kräver inkommande eller utgående autentiserade anslutningar
Datorkontonamnen för de värdar som är medlemmar och använder tjänsten via gMSA
NetBIOS-namnet för tjänsten
DNS-värdnamnet för tjänsten
Tjänstens huvudnamn (SPN) för tjänsten
Lösenordsändringsintervallet (standardvärdet är 30 dagar)
Skapa grupphanterade tjänstkonton
Du kan bara skapa en gMSA om skogsschemat är Windows Server 2012 eller senare. Du måste också distribuera KDS-rotnyckeln för Active Directory och ha minst en Windows Server 2012 eller senare domänkontrollant i domänen där du vill skapa en gMSA.
Viktigt!
gMSA-kontonamn måste vara unika inom en skogsnivå och inte bara en domän. Försök att skapa ett gMSA-konto med ett duplicerat namn misslyckas, även i olika domäner.
Medlemskap i domänadministratörer eller möjligheten att skapa msDS-GroupManagedServiceAccount
objekt är det minsta som krävs för att slutföra följande procedurer.
Följ dessa steg om du vill skapa en gMSA med Hjälp av PowerShell.
På Windows Server 2012-domänkontrollanten kör du Windows PowerShell från Aktivitetsfältet.
I kommandotolken för Windows PowerShell skriver du följande kommandon och trycker sedan på RETUR. Active Directory-modulen läses in automatiskt.
New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]
Anmärkning
Ett värde för parametern
-Name
krävs alltid (oavsett om du anger-Name
eller inte), där-DNSHostName
,-RestrictToSingleComputer
och-RestrictToOutboundAuthentication
är sekundära krav för de tre distributionsscenarierna.Parameter Sträng Exempel Namn Namnet på kontot ITFarm1 DNS-värdnamn DNS-värdnamnet för tjänsten ITFarm1.contoso.com KerberosEncryptionType Alla krypteringstyper som stöds av värdservrarna Ingen, RC4, AES128, AES256 HanteratLösenordsintervallIDagar Intervall för lösenordsändring i dagar (standardvärdet är 30 dagar om det inte anges) 90 Principaler som tillåts hämta hanterade lösenord Datorkontona för medlemsvärdarna eller säkerhetsgruppen som medlemsvärdarna är medlem i ITFarmHosts SamAccountName NetBIOS-namn för tjänsten om det inte är samma som Namn ITFarm1 Tjänstehuvudnamn Tjänstens huvudnamn (SPN) för tjänsten http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01 Viktigt!
Lösenordsändringsintervallet kan bara anges när du skapar det. Om du behöver ändra intervallet måste du skapa en ny gMSA och ange den vid skapandetillfället.
Använd till exempel följande kommando för att skapa en ny gMSA med namnet
ITFarm1
för gruppen. Med gMSA kan tjänsten använda Kerberos-krypteringstyperna RC4, AES128 och AES256. Tjänsten kan använda SPN:ernahttp/ITFarm1.contoso.com/contoso.com
,http/ITFarm1.contoso.com/contoso
,http/ITFarm1/contoso.com
ochhttp/ITFarm1/contoso
.Ange kommandot på en enda rad, även om de kan visas ordomslutna över flera rader här på grund av formateringsbegränsningar.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Medlemskap i domänadministratörer, kontooperatörereller möjlighet att skapa msDS-GroupManagedServiceAccount
objekt är det minsta som krävs för att slutföra den här proceduren. Detaljerad information om hur du använder lämpliga konton och gruppmedlemskap finns i Active Directory-säkerhetsgrupper.
Följ stegen för att skapa en gMSA för utgående autentisering endast med Hjälp av PowerShell.
På Windows Server 2012-domänkontrollanten kör du Windows PowerShell från Aktivitetsfältet.
Använd följande kommando i kommandotolken för Windows PowerShell Active Directory-modulen.
New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]
I exemplet skapas en gMSA med hjälp av parametrarna i följande tabell.
Parameter Sträng Exempel Namn Namnge kontot ITFarm1 HanteratLösenordsintervallIDagar Intervall för lösenordsändring i dagar (standardvärdet är 30 dagar om det inte anges) 75 Principaler som tillåts hämta hanterade lösenord Datorkontona för medlemsvärdarna eller säkerhetsgruppen som medlemsvärdarna är medlem i ITFarmHosts Viktigt!
Lösenordsändringsintervallet kan bara anges när du skapar det. Om du behöver ändra intervallet måste du skapa en ny gMSA och ange den vid skapandetillfället.
Exempelkommandot använder dessa parametrar enligt följande.
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
Konfigurera applikationstjänst för tjänstidentitet
Information om hur du konfigurerar tjänsterna i Windows Server finns i följande artiklar:
Andra tjänster kan ha stöd för gMSA. Mer information om hur du konfigurerar tjänsterna finns i lämplig produktdokumentation.
Lägg till medlemsvärdar i en befintlig serverfarm
Om du använder säkerhetsgrupper för att hantera medlemsvärdar lägger du till datorkontot för den nya medlemsvärden i säkerhetsgruppen (som gMSA:s medlemsvärdar är medlem i) med någon av följande metoder.
Medlemskap i domänadministratörer, eller möjligheten att lägga till medlemmar i säkerhetsgruppsobjektet, är det minsta som krävs för att slutföra dessa procedurer.
Metod 1: Active Directory-användare och datorer
Information om hur du använder snapin-modulen Active Directory-användare och datorer finns i Lägg till ett datorkonto i en grupp och Hantera olika domäner i Active Directory Administrationscenter.
Metod 2:
dsmod
Information om hur du använder kommandoraden finns i Lägg till ett datorkonto i en grupp.
Metod 3: Windows PowerShell Active Directory-cmdlet
Add-ADPrincipalGroupMembership
Information om hur du använder PowerShell finns i Add-ADPrincipalGroupMembership.
Om du använder datorkonton letar du upp de befintliga kontona och lägger sedan till det nya datorkontot.
Medlemskap i domänadministratörer, kontoansvarigaeller möjlighet att hantera msDS-GroupManagedServiceAccount
objekt är det minsta som krävs för att slutföra den här proceduren. Detaljerad information om hur du använder lämpliga konton och gruppmedlemskap finns i Lokala och Domänstandardgrupper.
Lägga till medlemsvärdar med PowerShell
På Windows Server 2012-domänkontrollanten kör du Windows PowerShell från Aktivitetsfältet.
I kommandotolken för Windows PowerShell Active Directory-modulen skriver du följande kommandon och trycker sedan på RETUR:
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword
I kommandotolken för Windows PowerShell Active Directory-modulen skriver du följande kommandon och trycker sedan på RETUR:
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
I följande exempel läggs en medlem till i en servergrupp med hjälp av parametrarna i tabellen.
Parameter | Sträng | Exempel |
---|---|---|
Namn | Namnge kontot | ITFarm1 |
Principaler som tillåts hämta hanterade lösenord | Datorkontona för medlemsvärdarna eller säkerhetsgruppen som medlemsvärdarna är medlem i | Host1, Host2, Host3 |
I följande exempel hämtas de aktuella medlemmarna i serverfarmen ITFarm1
.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
I följande exempel läggs värdar till i en befintlig servergrupp ITFarm1
.
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$
Uppdatera gMSA-egenskaperna
Medlemskap i Domänadministratörer, Kontoansvariga, eller möjligheten att skriva till msDS-GroupManagedServiceAccount-objekt, är det minsta som krävs för att slutföra dessa procedurer.
Öppna Active Directory-modulen för Windows PowerShell och ange alla egenskaper med hjälp av cmdleten Set-ADServiceAccount
.
Detaljerad information om hur du anger dessa egenskaper finns i Set-ADServiceAccount i TechNet-biblioteket eller genom att skriva Get-Help Set-ADServiceAccount
i Active Directory-modulen för Windows PowerShell-kommandotolken och trycka på RETUR.
Ta bort medlemsservrar från en befintlig servergrupp
Medlemskap i domänadministratörer, eller möjlighet att ta bort medlemmar från säkerhetsgruppsobjektet, är det minsta som krävs för att slutföra dessa procedurer.
Om du använder säkerhetsgrupper för att hantera medlemsvärdar, ta bort datorkontot för den avvecklade medlemsvärden från säkerhetsgruppen som gMSA:s medlemsvärdar är medlemmar i, med hjälp av någon av följande metoder.
Metod 1: Active Directory-användare och datorer
Information om hur du använder snapin-modulen Active Directory-användare och datorer finns i Ta bort ett datorkonto och Hantera olika domäner i Active Directory Administrationscenter.
Metod 2:
drsm
Information om hur du använder kommandoraden finns i Ta bort ett datorkonto.
Metod 3: Windows PowerShell Active Directory-cmdlet
Remove-ADPrincipalGroupMembership
Information om hur du använder PowerShell finns i Remove-ADPrincipalGroupMembership i TechNet-biblioteket eller skriv
Get-Help Remove-ADPrincipalGroupMembership
i Active Directory-modulen för Windows PowerShell-kommandotolken och tryck på RETUR.
Om du listar datorkonton hämtar du de befintliga kontona och lägger sedan till alla utom det borttagna datorkontot.
Medlemskap i domänadministratörer, kontoansvarigaeller möjlighet att hantera msDS-GroupManagedServiceAccount
objekt är det minsta som krävs för att slutföra den här proceduren. Detaljerad information om hur du använder lämpliga konton och gruppmedlemskap finns i Lokala och Domänstandardgrupper.
Ta bort medlemsvärdar med PowerShell
På Windows Server 2012-domänkontrollanten kör du Windows PowerShell från Aktivitetsfältet.
I kommandotolken för Windows PowerShell Active Directory-modulen skriver du följande kommandon och trycker sedan på RETUR:
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword
I kommandotolken för Windows PowerShell Active Directory-modulen skriver du följande kommandon och trycker sedan på RETUR:
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Exemplet tar bort en medlem till en servergrupp med hjälp av parametrarna i följande tabell.
Parameter | Sträng | Exempel |
---|---|---|
Namn | Namnge kontot | ITFarm1 |
Principaler som tillåts hämta hanterade lösenord | Datorkontona för medlemsvärdarna eller säkerhetsgruppen som medlemsvärdarna är medlem i | Host1, Host3 |
I följande exempel hämtas de nuvarande medlemmarna i farmen ITFarm1
.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
I följande exempel tas medlemsvärdar bort från en befintlig servergrupp ITFarm1
.
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$
Ta bort gMSA från systemet
Ta bort cachelagrade gMSA-autentiseringsuppgifter från medlemsvärden med hjälp av Uninstall-ADServiceAccount
eller NetRemoveServiceAccount
-API:et i värdsystemet.
Medlemskap i administratörer, eller motsvarande, är det minsta som krävs för att slutföra dessa procedurer.
Ta bort gMSA med PowerShell
På Windows Server 2012-domänkontrollanten kör du Windows PowerShell från Aktivitetsfältet.
I kommandotolken för Windows PowerShell Active Directory-modulen skriver du följande kommandon och trycker sedan på RETUR:
Uninstall-ADServiceAccount <ADServiceAccount>
I följande exempel avinstalleras ett Active Directory-hanterat tjänstkonto från en dator.
Uninstall-ADServiceAccount ITFarm1
Mer information om cmdleten Uninstall-ADServiceAccount
finns i Active Directory-modulen för Windows PowerShell-kommandotolken genom att skriva Get-Help Uninstall-ADServiceAccount
och sedan trycka på RETUR, eller besöka TechNet-webben på Uninstall-ADServiceAccount.
Relaterat innehåll
- Översikt över grupphanterade tjänstkonton