Поделиться через

Настройка делегированных управляемых учетных записей служб

Делегированная управляемая учетная запись службы (dMSA) — это учетная запись Active Directory (AD), которая обеспечивает безопасное и эффективное управление учетными данными. В отличие от традиционных учетных записей служб, dMSAs не требуют ручного управления паролями, так как AD автоматически заботится об этом. С помощью DMSAs определенные разрешения можно делегировать для доступа к ресурсам в домене, что снижает риски безопасности и обеспечивает более высокую видимость и журналы действий учетной записи службы.

Настройка dMSA в настоящее время доступна только на устройствах под управлением Windows Server 2025. DMSA — это более безопасный и управляемый подход к управлению учетными записями служб по сравнению с традиционными учетными записями служб. Перенос критически важных служб в dMSA организации могут гарантировать, что эти службы управляются безопасным и соответствующим образом. DMSA обеспечивает более высокий уровень безопасности, предлагая уникальные и часто поворачиваемые пароли, что снижает вероятность несанкционированного доступа и повышает общую безопасность.

Prerequisites

  • Роль служб домен Active Directory должна быть установлена на устройстве или на любом устройстве при использовании средств удаленного управления. Дополнительные сведения см. в статье "Установка или удаление ролей", "Службы ролей" или "Компоненты".

  • После установки роли устройство должно быть повышено до контроллера домена (DC). In Server Manager, the flag icon displays a new notification. Выберите "Повысить уровень этого сервера до контроллера домена", а затем выполните необходимые действия.

  • You must be a member of the Domain Admins or Enterprise Admins group, or have equivalent AD permissions, to create or migrate to a dMSA.

  • Убедитесь, что двусторонние доверительные отношения между лесами устанавливаются между соответствующими лесами Active Directory для поддержки аутентификации в сценариях между доменами и между лесами с помощью dMSA.

  • Корневой ключ KDS должен быть создан на контроллере домена перед созданием или переносом DMSA. Запустите Get-KdsRootKey PowerShell, чтобы проверить, доступен ли ключ. Если ключ недоступен, его можно добавить, выполнив команду Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)).

    Note

    Чтобы использовать dMSA в качестве автономной управляемой учетной записи службы (MSA) или заменив устаревшую учетную запись службы, на клиентском устройстве необходимо выполнить следующую команду:

    $params = @{
 Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
 Name = "DelegatedMSAEnabled"
 Value = 1
 Type = "DWORD"
}
Set-ItemProperty @params

Создание автономной dMSA

Следующие инструкции позволяют пользователям создавать новую dMSA без миграции из традиционной учетной записи службы.

  1. Откройте сеанс PowerShell с правами администратора и выполните следующую команду:

    $params = @{
 Name = "ServiceAccountName"
 DNSHostName = "DNSHostName"
 CreateDelegatedServiceAccount = $true
 KerberosEncryptionType = "AES256"
}
New-ADServiceAccount @params

  2. Предоставьте устройству разрешение на получение пароля для учетной записи службы в AD:

    $params = @{
 Identity = "DMSA Name"
 PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
}
Set-ADServiceAccount @params

  3. The msDS-DelegatedMSAState property value for the dMSA must be set to 3. Чтобы просмотреть текущее значение свойства, выполните следующую команду:

    $params = @{
 Identity = "dMSAsnmp"
 Properties = "msDS-DelegatedMSAState"
}
Get-ADServiceAccount @params

    To set this value to 3, run:

    $params = @{
 Identity = "dMSAsnmp"
 Properties = @{
  "msDS-DelegatedMSAState" = 3
 }
}
Set-ADServiceAccount @params

Миграция на dMSA

Чтобы перенести учетную запись службы в dMSA, выполните следующие действия.

  1. Создайте dMSA, описанную в разделе "Создание автономной dMSA".

  2. Инициируйте миграцию учетной записи в dMSA:

    $params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Start-ADServiceAccountMigration @params

  3. Если учетная запись службы, переносимая на dMSA, имеет доступ к нескольким серверам, сначала необходимо применить политику реестра, чтобы убедиться, что она используется по умолчанию для контроллера домена. После входа с помощью DMSA выполните следующую команду:

    $params = @{
 Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
 Name = "DelegatedMSAEnabled"
 Value = "1"
 PropertyType = "DWORD"
 Force = $true
}
New-ItemProperty @params

  4. После применения изменений в реестре и связывания учетной записи перезапустите запущенные службы для учетной записи, выполнив следующую команду:

    Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service

Note

In the case that the service account is connected to multiple devices and migration has ended, the PrincipalsAllowedToRetrieveManagedPassword needs to be updated manually.

Завершение миграции учетной записи

Warning

When finalizing the migration, never delete the original service account in case you need to revert back to it post migration as this causes several issues.

Чтобы завершить миграцию учетных записей, традиционные учетные записи служб должны быть отключены, чтобы все службы использовали dMSA.

Чтобы отключить традиционную учетную запись службы, выполните следующую команду:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Если выполняется миграция неправильной учетной записи, выполните следующие действия, чтобы отменить все действия во время миграции:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Чтобы вернуть учетную запись службы обратно в неактивное или несвязанное состояние, выполните следующую команду:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

Просмотр журналов событий dMSA

События можно просматривать с помощью Просмотр событий (eventvwr.exe), выполнив следующие действия:

  1. Right-click on Start and select Event Viewer.
  2. В левой области разверните приложения и службы и перейдите к Microsoft\Windows\Security-Kerberos\Operational.
  3. Logging for this provider is disabled by default, to enable logging, right-click on Operational and select Enable Log.

В следующей таблице описаны эти захваченные события.

Event ID Description
307 dMSA Migration - This event is written for both dMSAs under migration and for ones that migrated. Она содержит сведения о старой учетной записи службы и новой dMSA.
308 Добавление разрешений dMSA. Это событие регистрируется при попытке компьютера добавить себя в субъекты, разрешенные для получения управляемого поля пароля dMSA во время миграции.
309 Получение ключа dMSA — это событие регистрируется, когда клиент Kerberos пытается получить ключи для dMSA из контроллера домена.

See also