Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описано, как включить и использовать групповые управляемые учетные записи служб (gMSA) в Windows Server.
Протоколы проверки подлинности, поддерживающие взаимную проверку подлинности, например Kerberos, нельзя использовать, если только все экземпляры служб не используют один и тот же субъект. Например, когда клиентский компьютер подключается к службе, использующую балансировку нагрузки или другой метод, где все серверы, как представляется, одинаковы для клиента. Это означает, что каждая служба должна использовать одни и те же пароли или ключи, чтобы подтвердить свою личность. Учетные записи управляемых групп — это тип учетной записи, которую можно использовать с несколькими серверами. GMSA — это учетная запись домена, которая может использоваться для запуска служб на нескольких серверах без необходимости управлять паролем. GMSA обеспечивает автоматическое управление паролями и упрощенное управление именем субъекта-службы, включая делегирование управления другим администраторам.
Замечание
Отказоустойчивые кластеры не поддерживают GMSAs. Однако службы, которые выполняются поверх службы кластера, могут использовать gMSA или sMSA, если они являются службой Windows, пулом приложений, запланированной задачей или имеют родную поддержку gMSA или sMSA.
Службы могут выбрать субъект для использования. Каждый тип субъекта поддерживает разные службы и имеет разные ограничения.
| Руководители | Поддерживаемые службы | Управление паролями |
|---|---|---|
| Учетная запись компьютера в системе Windows | Ограничена одним сервером в домене | Управляется компьютером |
| Учетная запись компьютера без системы Windows | Любой сервер в домене | Отсутствует |
| Виртуальная учетная запись | Ограничена одним сервером | Управляется компьютером |
| Автономная управляемая учетная запись службы Windows | Ограничена одним сервером в домене | Управляется компьютером |
| Учетная запись пользователя | Любой сервер в домене | Отсутствует |
| Учетная запись управляемой группой службы | Любой сервер, присоединенный к домену Windows Server | Управляется контроллером домена и извлекается узлом |
Учетная запись компьютера Windows, автономная управляемая учетная запись службы Windows (sMSA) или виртуальные учетные записи не могут быть общими для нескольких систем. При использовании виртуальных учетных записей удостоверение также является локальным для компьютера и не распознается доменом. Если вы настраиваете учетную запись, которая будет использоваться различными службами на фермах серверов, выберите учетную запись пользователя или учетную запись не в системе Windows. В любом случае эти учетные записи не имеют возможности управления паролями с одной точкой управления. Без управления паролями каждая организация должна обновить ключи службы в Active Directory (AD) и распространить эти ключи ко всем экземплярам этих служб.
В Windows Server службы и администраторы служб не должны управлять синхронизацией паролей между экземплярами служб при использовании gMSA. Вы создаете gMSA в AD и настраиваете службу, которая поддерживает управляемые учетные записи служб. Использование gMSA распространяется на любой компьютер, который может использовать протокол LDAP для получения учетных данных gMSA. Вы можете создать gMSA с помощью New-ADServiceAccount командлетов, входящих в модуль AD. Следующие службы поддерживают конфигурацию удостоверения службы на узле.
Те же API, что и sMSA, поэтому продукты, поддерживающие sMSA, поддерживают gMSA
Службы, использующие Service Control Manager для настройки удостоверения входа
Службы, использующие менеджер IIS для пулов приложений для настройки удостоверения
Задачи с помощью планировщика задач.
Предпосылки
Для управления gMSAs устройство должно соответствовать следующим требованиям:
На вашем устройстве должна быть установлена роль Доменных служб Active Directory (AD DS). Дополнительные сведения см. в статье "Добавление и удаление ролей и компонентов" в Windows Server.
Вы должны быть членом группы "Администраторы домена " или " Администраторы предприятия ".
Для поддержки функций gMSA для всех устройств следует задать уровни работы домена и леса в Windows Server 2012 или более поздней версии. Дополнительные сведения об обновлении схемы см. в статье "Повышение функциональных уровней домена и леса" в доменных службах Active Directory.
Корневой ключ служб распространения ключей (KDS) должен быть создан в домене для безопасного управления паролями. Проверьте его создание с помощью операционного журнала KdsSvc (идентификатор события 4004). Дополнительные сведения о создании корневого ключа KDS (kdssvc.dll) см. в статье "Создание корневого ключа KDS служб распространения ключей".
Подсказка
Чтобы контролировать, какие узлы или службы могут использовать gMSA, добавьте учетные записи компьютеров в назначенную группу безопасности (новую или существующую) и назначьте необходимые разрешения этой группе. Аналогичным образом используйте группу безопасности для управления доступом к службам, работающим в gMSAs, обеспечивая наличие всех необходимых разрешений для операций службы и доступа к ресурсам.
Для аутентификации Kerberos в работе с сервисами, использующими gMSAs, необходимо следующее:
Убедитесь, что SPN правильно зарегистрированы для каждой службы с помощью группового управляемого служебного аккаунта (gMSA). Это позволяет Kerberos определять и аутентифицировать службу.
Убедитесь, что записи DNS настроены правильно для разрешения имен, поскольку Kerberos опирается на них для поиска доменных услуг.
Убедитесь, что брандмауэры и политики сети разрешают трафик Kerberos и необходимые коммуникации сервисов.
Для параметров времени существования билета Kerberos настройте политики истечения срока действия билета и продления в соответствии с вашими требованиями к безопасности и эксплуатации.
Все системы, участвующие в процессе проверки подлинности, должны иметь синхронизированные часы. Kerberos учитывает конфигурацию времени, а несоответствия могут привести к сбоям проверки подлинности.
Если вы управляете AD с компьютера, который не является контроллером домена, установите средства удаленного администрирования сервера (RSAT), чтобы получить доступ к необходимым функциям управления. RSAT предоставляет модуль AD для PowerShell. После установки RSAT откройте PowerShell от имени администратора и запустите Import-Module ActiveDirectory , чтобы включить командлеты управления AD. Это позволяет администраторам удаленно и безопасно управлять AD, минимизируя нагрузку на контроллеры домена.
Создание gMSA
Чтобы создать gMSA с помощью PowerShell, выполните следующие действия в окне PowerShell с повышенными привилегиями:
Это важно
Имена учетных записей gMSA должны быть уникальными на уровне леса, а не только в домене. Попытка создать учетную запись gMSA с повторяющимся именем завершается ошибкой, даже в разных доменах.
Создайте корневой ключ KDS, если он не существует, следуя инструкциям в руководстве по созданию корневого ключа KDS служб распространения ключей. Если ключ уже существует, пропустите этот шаг.
Чтобы создать gMSA, выполните следующую команду. Замените
<gMSAName>нужным именем gMSA и<domain>именем домена. Замените<SecurityGroup>именем группы безопасности или учетных записей компьютеров, у которых должен быть доступ для получения пароля gMSA.New-ADServiceAccount -Name <gMSAName> -DNSHostName <gMSAName>.<domain> -PrincipalsAllowedToRetrieveManagedPassword <SecurityGroup>Чтобы создать gMSA только для исходящей проверки подлинности, выполните следующую команду. Замените
<Days>числовым значением. Если значение не указано, значение по умолчанию равно30дням.New-ADServiceAccount -Name <gMSAName> -DNSHostName <gMSAName>.<domain> -RestrictToOutboundAuthenticationOnly -ManagedPasswordIntervalInDays <Days> -PrincipalsAllowedToRetrieveManagedPassword <SecurityGroup>Это важно
Периодичность смены пароля можно настроить только в процессе создания. Если вам нужно изменить это значение, создайте новую групповую управляемую учетную запись службы и настройте этот параметр в процессе ее создания.
На каждом компьютере, использующего gMSA, выполните следующую команду, чтобы установить gMSA на целевом устройстве. Замените
<gMSAName>именем созданной gMSA.Install-ADServiceAccount -Identity <gMSAName>Выполните следующую команду, чтобы убедиться, что установка gMSA была выполнена на целевом устройстве.
Test-ADServiceAccount -Identity <gMSAName>
Членство в соответствующей группе безопасности или наличие необходимых делегированных разрешений для создания msDS-GroupManagedServiceAccount объектов требуется для выполнения этой процедуры. Хотя члены операторов учетных записей могут управлять определенными объектами пользователей и групп в AD, у них нет прав на создание gMSAs по умолчанию, если эти разрешения не делегированы им. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. в группах безопасности Active Directory.
Вы также можете обновить свойства gMSA с помощью командлета Set-ADServiceAccount . Например, чтобы обновить отображаемое имя компьютера, выполните следующую команду, заменив <gMSAName> и <NewDisplayName> на ваши значения.
Set-ADServiceAccount -Identity "<gMSAName>" -DisplayName "<NewDisplayName>"
Подробные сведения о настройке других свойств для gMSA см. в разделе Set-ADServiceAccount.
Проверка изменений в gMSA
После внесения изменений в gMSA можно проверить правильность обновления gMSA. Эти изменения включают добавление, удаление и деинсталляцию gMSA. Вы также можете выполнить этот шаг в любое время при обновлении свойств gMSA.
Выполните следующую команду, заменив <gMSAName> на имя созданной вами gMSA.
Get-ADServiceAccount -Identity "<gMSAName>" | Select-Object *
Добавьте узлы, являющиеся участниками, в группу безопасности
Замечание
Управление, ориентированное на группу (
Add-ADGroupMember/Remove-ADGroupMember): используйте эти командлеты, если вы хотите управлять членством в определенной группе. Они лучше всего подходят для эффективного добавления или удаления нескольких пользователей, компьютеров или других объектов в группу или из группы.Управление, ориентированное на субъекта (
Add-ADPrincipalGroupMembership/Remove-ADPrincipalGroupMembership): выберите эти командлеты, когда ваша цель — управлять членством определенного пользователя или компьютера в нескольких группах. Они позволяют добавлять или удалять субъект из нескольких групп в одной операции, что упрощает обновление принадлежности групп для отдельных учетных записей.
Если вы используете группы безопасности для управления узлами-членами, добавьте учетную запись компьютера для нового узла-члена в группу безопасности, содержащую узлы-члены gMSA. Это можно сделать с помощью одного из следующих методов:
Сведения об использовании оснастки "Пользователи и компьютеры Active Directory" (ADUC) см. в статье "Добавление учетной записи компьютера в группуучетных записей пользователей и управление учетными записями пользователей в Active Directory Users and Computer".
Если используются учетные записи компьютеров, найдите существующие учетные записи и добавьте новую учетную запись компьютера.
Удаление узлов-участников из группы безопасности
Сведения об использовании оснастки ADUC см. в разделе "Удаление учетной записи компьютера " и "Удаление учетной записи пользователя".
Удалите gMSA из вашей системы
Хотя вы не можете удалить gMSAs в ADUC, вы можете вручную удалить gMSA, найдя его в контейнере управляемых учетных записей служб и удалив его, как и любой другой объект AD. Однако следует помнить, что это не выполняет те же операции очистки, которые Uninstall-ADServiceAccount выполняет в PowerShell.
Чтобы удалить gMSA, откройте окно PowerShell с повышенными привилегиями и выполните следующие действия.
Для удаления одной учетной записи gMSA из вашей среды, выполните следующую команду, заменив
<gMSAName>на нужное значение.Uninstall-ADServiceAccount -Identity <gMSAName>Чтобы удалить несколько gMSAs из среды, выполните следующую команду, заменив
<gMSA#$>на ваши значения:$gMSANames = @("gMSA1$", "gMSA2$", "gMSA3$") foreach ($gMSAs in $gMSANames) { Uninstall-ADServiceAccount -Identity $gMSAs }
Дополнительные сведения о командлете Uninstall-ADServiceAccount см. в разделе Uninstall-ADServiceAccount.