(0) exportieren Drucken
Alle erweitern

Gruppenverwaltete Dienstkonten: Übersicht

Veröffentlicht: Februar 2012

Letzte Aktualisierung: Oktober 2012

Betrifft: Windows Server 2012

In diesem Thema für IT-Spezialisten wird das gruppenverwaltete Dienstkonto eingeführt. Hierzu werden praktische Anwendungen, Änderungen in der Implementierung von Microsoft, Hard- und Softwareanforderungen sowie zusätzliche Ressourcen für Windows Server® 2012 beschrieben.

Meinten Sie…

Eigenständige verwaltete Dienstkonten, die in Windows Server 2008 R2 und Windows 7 eingeführt wurden, sind verwaltete Domänenkonten, die eine automatische Kennwortverwaltung sowie eine vereinfachte Verwaltung von Dienstprinzipalnamen (Service Principal Names, SPNs) ermöglichen – einschließlich Delegierung der Verwaltung an andere Administratoren.

Das gruppenverwaltete Dienstkonto bietet die gleichen Funktionen innerhalb der Domäne, weitet diese jedoch zudem auf mehrere Server aus. Beim Herstellen einer Verbindung mit einem Dienst, der in einer Serverfarm gehostet wird (beispielsweise ein Netzwerklastenausgleich), erfordern die Authentifizierungsprotokolle mit gegenseitiger Authentifizierung, dass alle Instanzen der Dienste den gleichen Prinzipal verwenden. Falls gruppenverwaltete Dienstkonten als Dienstprinzipale verwendet werden, wird das Kennwort für das Konto vom Windows-Betriebssystem verwaltet, anstatt die Kennwortverwaltung dem Administrator zu überlassen.

Der Microsoft-Schlüsselverteilungsdienst ("kdssvc.dll") stellt den Mechanismus zum sicheren Abrufen des aktuellen Schlüssels oder eines bestimmten Schlüssels mit einer Schlüssel-ID für ein Active Directory-Konto bereit. Dieser Dienst ist neu in Windows Server 2012 und kann unter älteren Versionen des Windows Server-Betriebssystems nicht ausgeführt werden. Vom Schlüsselverteilungsdienst werden geheime Informationen zur Erstellung von Schlüsseln für das Konto bereitgestellt. Diese Schlüssel werden regelmäßig geändert. Bei einem gruppenverwalteten Dienstkonto berechnet der Windows Server 2012-Domänencontroller das Kennwort für den vom Schlüsselverteilungsdienst angegebenen Schlüssel – genau wie andere Attribute des gruppenverwalteten Dienstkontos. Aktuelle und ältere Kennwortwerte können von Windows Server 2012- und Windows 8-Mitgliedshosts durch Kontaktieren eines Windows Server 2012-Domänencontrollers abgerufen werden.

Gruppenverwaltete Dienstkonten bieten eine Einzelidentitätslösung für Dienste, die in einer Serverfarm oder auf Systemen hinter einem Netzwerklastenausgleich ausgeführt werden. Durch Bereitstellen einer Lösung für gruppenverwaltete Dienstkonten (Gruppen-MSA-Lösung) können Dienste für den neuen Gruppen-MSA-Prinzipal konfiguriert werden, während die Kennwortverwaltung von Windows gehandhabt wird.

Bei Verwendung eines gruppenverwalteten Dienstkontos muss von Diensten oder Dienstadministratoren keine Kennwortsynchronisierung zwischen Dienstinstanzen verwaltet werden. Das gruppenverwaltete Dienstkonto unterstützt Hosts, die über einen längeren Zeitraum offline sind, sowie die Verwaltung von Mitgliedshosts für alle Instanzen eines Diensts. Sie können also eine Serverfarm bereitstellen, die eine einzelne Identität unterstützt, gegenüber der sich vorhandene Clientcomputer authentifizieren können, ohne zu wissen, mit welcher Instanz des Diensts eine Verbindung hergestellt wird.

In der folgenden Tabelle sind die Änderungen des MSA-Features aufgeführt.

 

Feature/Funktionalität Windows Server 2008 R2 Windows Server 2012

Konten virtueller Computer

X

X

Verwaltete Dienstkonten

X

X

Gruppenverwaltete Dienstkonten

X

Windows PowerShell-Cmdlets

X

X

Informationen zu diesen Funktionsänderungen für MSA finden Sie unter Neues für verwaltete Dienstkonten.

In Windows Server 2012 werden die Windows PowerShell-Cmdlets standardmäßig für die Verwaltung der gruppenverwalteten Dienstkonten anstatt für die ursprünglichen eigenständigen Dienstkonten verwendet.

Verwaltete Dienstkonten (und virtuelle Computerkonten) gelten sowohl für Windows Server 2008 R2 als auch für Windows Server 2012. Gruppenverwaltete Dienstkonten können nur auf Computern unter Windows Server 2012 konfiguriert und verwaltet werden. Sie können jedoch als Lösung mit einzelner Dienstidentität in Domänen bereitgestellt werden, in denen noch Domänencontroller unter Betriebssystemen vor Windows Server 2012 vorhanden sind. Auf Domänen- oder Gesamtstrukturfunktionsebene gelten keine Anforderungen.

Ein verwaltetes Dienstkonto ist abhängig von Verschlüsselungstypen mit Kerberos-Unterstützung. Wenn sich ein Clientcomputer gegenüber einem Server per Kerberos authentifiziert, wird vom Domänencontroller ein Kerberos-Dienstticket erstellt, das mit einer Verschlüsselung geschützt ist, die sowohl vom Domänencontroller als auch vom Server unterstützt wird. Die vom Server unterstützte Verschlüsselung wird vom Domänencontroller anhand des msDS-SupportedEncryptionTypes-Attributs des Kontos ermittelt. Sollte kein Attribut vorhanden sein, wird davon ausgegangen, dass vom Clientcomputer keine sichereren Verschlüsselungsarten unterstützt werden. Wird RC4 aufgrund der Konfiguration des Windows Server 2012-Hosts nicht unterstützt, tritt bei der Authentifizierung immer ein Fehler auf. Aus diesem Grund muss AES für verwaltete Dienstkonten immer explizit konfiguriert sein.

noteHinweis
Ab Windows Server 2008 R2 ist DES standardmäßig deaktiviert. Weitere Informationen zu unterstützten Verschlüsselungsarten finden Sie unter Änderungen bei der Kerberos-Authentifizierung.

Gruppenverwaltete Dienstkonten sind für Windows-Betriebssysteme vor Windows Server 2012 nicht verfügbar.

Es sind keine Konfigurationsschritte erforderlich, um (gruppen-)verwaltete Dienstkonten mit dem Server-Manager oder dem Cmdlet "Install-WindowsFeature" zu implementieren.

In der folgenden Tabelle sind Links zu weiterführenden Ressourcen im Zusammenhang mit verwalteten Dienstkonten und gruppenverwalteten Dienstkonten aufgeführt.

 

Art der Inhalte Referenzen

Produktbewertung

Neues für verwaltete Dienstkonten

Dokumentation zu verwalteten Dienstkonten für Windows 7 und Windows Server 2008 R2

Schrittweise Anleitung zu Dienstkonten

Planen

Noch nicht verfügbar

Bereitstellung

Noch nicht verfügbar

Betrieb

Verwaltete Dienstkonten in Active Directory

Problembehandlung

Noch nicht verfügbar

Bewertung

Getting Started with Group Managed Service Accounts

Tools und Einstellungen

Verwaltete Dienstkonten in Active Directory-Domänendiensten

Communityressourcen

Verwaltete Dienstkonten: Grundlegendes, Implementierung, bewährte Methoden und Problembehandlung

Verwandte Technologien

Active Directory-Domänendienste (Übersicht)

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft