Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Приложениям и службам часто требуется учётная запись для аутентификации в других ресурсах. Например, веб-служба может потребоваться пройти проверку подлинности с помощью службы базы данных. Если у приложения или службы несколько экземпляров, например ферма веб-серверов, создание и настройка идентификаторов для этих ресурсов занимает много времени.
Вместо этого можно создать управляемую учетную запись группы служб (gMSA) в управляемом домене Microsoft Entra Domain Services. Ос Windows автоматически управляет учетными данными для gMSA, что упрощает управление большими группами ресурсов.
В этой статье показано, как создать gMSA в управляемом домене с помощью Azure PowerShell.
Перед началом работы
Чтобы завершить эту статью, вам потребуются следующие ресурсы и привилегии:
- Активная подписка Azure.
- Если у вас нет подписки Azure, создайте учетную запись.
- Клиент Microsoft Entra, связанный с подпиской, либо синхронизирован с локальным каталогом или облачным каталогом.
- При необходимости создайте клиента Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
- Управляемый домен доменных служб Microsoft Entra включен и настроен в клиенте Microsoft Entra.
- При необходимости выполните инструкции, чтобы создать и настроить управляемыйдомен доменных служб Microsoft Entra.
- Виртуальная машина управления Windows Server, присоединенная к управляемому домену доменных служб.
- При необходимости выполните инструкции, чтобы создать виртуальную машину управления.
Общие сведения об управляемых учетных записях служб
Автономная управляемая учетная запись службы (sMSA) — это учетная запись домена, пароль которой автоматически управляется. Этот подход упрощает управление SPN и позволяет делегировать управление другим администраторам. Вам не нужно вручную создавать и менять учетные данные для учетной записи.
Учетная запись управляемой службы группы (gMSA) обеспечивает одно и то же упрощение управления, но для нескольких серверов в домене. gMSA позволяет всем экземплярам службы, размещенной на серверной ферме, использовать один и тот же сервисный принципал для работы протоколов взаимной аутентификации. Если gMSA используется в качестве субъекта-службы, операционная система Windows снова управляет паролем учетной записи вместо того, чтобы полагаться на администратора.
Дополнительные сведения см. в обзоре управляемых учетных записей служб (gMSA).
Использование учетных записей служб в доменных службах
Так как управляемые домены заблокированы и управляются корпорацией Майкрософт, необходимо учитывать некоторые моменты при использовании служебных учётных записей.
- Создайте служебные учетные записи в пользовательских подразделениях (OU) в управляемом домене.
- Вы не можете создать учетную запись службы во встроенных контейнерах AADDC Users или AADDC Computers.
- Вместо этого создайте настраиваемое подразделение в управляемом домене, а затем создайте учетные записи служб в этом настраиваемом подразделении.
- Корневой ключ служб распространения ключей (KDS) предварительно создан.
- Корневой ключ KDS используется для создания и извлечения паролей для gMSAs. В службах домена для вас создается корневая область KDS.
- У вас нет привилегий для создания другого ключа или просмотра корневого ключа KDS по умолчанию.
Создание gMSA
Сначала создайте пользовательский организационный юнит с помощью командлета New-ADOrganizationalUnit. Дополнительные сведения о создании и управлении пользовательскими подразделениями см. в разделе «Пользовательские подразделения в доменных службах».
Наконечник
Чтобы выполнить эти действия для создания gMSA, используйте виртуальную машину управления. Эта виртуальная машина управления уже должна иметь необходимые командлеты AD PowerShell и подключение к управляемому домену.
В следующем примере создается настраиваемое подразделение с именем myNewOU в управляемом домене с именем aaddscontoso.com. Используйте собственное OU и управляемое доменное имя:
New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"
Теперь создайте gMSA, используя командлет New-ADServiceAccount. Определены следующие примеры параметров:
- -Name установлено на WebFarmSvc
- -Path параметр указывает на настраиваемое подразделение для gMSA, созданного на предыдущем шаге.
- Записи DNS и основные имена служб задаются для WebFarmSvc.aaddscontoso.com
- Главные в AADDSCONTOSO-SERVER$ имеют право извлечь пароль и использовать удостоверение.
Укажите собственные имена и доменные имена.
New-ADServiceAccount -Name WebFarmSvc `
-DNSHostName WebFarmSvc.aaddscontoso.com `
-Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
-KerberosEncryptionType AES128, AES256 `
-ManagedPasswordIntervalInDays 30 `
-ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
http/WebFarmSvc/aaddscontoso.com, `
http/WebFarmSvc/aaddscontoso `
-PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$
Теперь приложения и службы можно настроить для использования gMSA по мере необходимости.
Дальнейшие действия
Дополнительные сведения о gMSAs см. в статье Начало работы с групповыми управляемыми учетными записями службы.