Vue d’ensemble des comptes de service administrés de groupe
S'applique à: Windows Server 2012 R2, Windows Server 2012
Cette rubrique destinées aux informaticiens présente le compte de service administré de groupe en décrivant des applications pratiques, les modifications apportées à l’implémentation Microsoft, la configuration matérielle et logicielle requise, ainsi que des ressources supplémentaires pour Windows Server 2012.
Vouliez-vous dire…
Comptes de service administrés (autonomes)
Description de la fonctionnalité
Les comptes de service administrés autonomes, qui ont été introduits dans Windows Server 2008 R2 et Windows 7, sont des comptes de domaine administrés qui fournissent une gestion automatique des mots de passe et une gestion simplifiée du nom de principal du service, ainsi que la délégation de ces fonctionnalités de gestion à d’autres administrateurs.
Le compte de service administré de groupe offre les mêmes fonctionnalités dans un domaine que sur de nombreux serveurs. Lors de la connexion à un service hébergé sur une batterie de serveurs, tel que le service Équilibrage de la charge réseau, les protocoles d’authentification prenant en charge l’authentification mutuelle exigent que toutes les instances des services utilisent le même principal. Lorsque le compte de service administré de groupe est utilisé comme principal de service, le système d’exploitation Windows gère le mot de passe du compte au lieu de laisser cette responsabilité à l’administrateur.
Le service de distribution de clés Microsoft (kdssvc.dll) fournit le mécanisme nécessaire pour obtenir en toute sécurité la dernière clé ou une clé spécifique avec un identificateur de clé d’un compte Active Directory. Ce service est une nouveauté dans Windows Server 2012 qui ne s’exécute pas sur les versions antérieures du système d’exploitation Windows Server. Le service de distribution de clés partage un secret qui sert à créer des clés pour le compte. Ces clés sont modifiées périodiquement. Pour un compte de service administré de groupe, le contrôleur de domaine Windows Server 2012 calcule le mot de passe sur la clé fournie par les Services de distribution de clés en plus d’autres attributs du compte de service administré de groupe. Les hôtes membres Windows Server 2012 et Windows 8 peuvent obtenir les valeurs de mot de passe actuelles et précédentes en contactant un contrôleur de domaine Windows Server 2012.
Cas pratiques
Les comptes de service administrés de groupe fournissent une solution d’identité unique pour les services qui s’exécutent dans une batterie de serveurs ou sur des systèmes reposant sur un équilibrage de la charge réseau. À partir d’une solution de compte de service administré de groupe, vous pouvez configurer des services pour le nouveau principal de compte de service administré de groupe. Par ailleurs, la gestion des mots de passe est administrée par Windows.
Avec un compte de service administré de groupe, ni les services, ni les administrateurs de services n’ont besoin de gérer la synchronisation des mots de passe entre les instances de services. Le compte de service administré de groupe prend en charge les hôtes qui sont maintenus hors connexion pour une durée prolongée, ainsi que la gestion des hôtes membres pour toutes les instances d’un service. Cela signifie que vous pouvez déployer une batterie de serveurs qui prend en charge une identité unique auprès de laquelle les ordinateurs clients existants peuvent s’authentifier sans savoir à quelle instance de service ils se connectent.
Les clusters de basculement ne prennent pas en charge les comptes de service administrés de groupe (gMSA, group Managed Service Account). Toutefois, les services qui s'exécutent sur le service de cluster peuvent utiliser un compte gMSA ou un compte de service administré autonome (sMSA, standalone Managed Service Account) s'il s'agit d'un service Windows, d'un pool d'applications, d'une tâche planifiée ou s'ils prennent nativement en charge les comptes gMSA ou sMSA.
Fonctionnalités nouvelles et modifiées
Le tableau suivant indique les modifications apportées à la fonctionnalité de compte de service administré.
Fonctionnalité/fonction |
Windows Server 2008 R2 |
Windows Server 2012 |
---|---|---|
Comptes d’ordinateurs virtuels |
X |
X |
Comptes de service administrés |
X |
X |
Comptes de service administrés de groupe |
X |
|
Applets de commande Windows PowerShell |
X |
X |
Pour plus d’informations sur ces modifications de fonctionnalités pour les comptes de service administrés, voir Nouveautés des comptes de service administrés.
Fonctionnalités déconseillées
Pour Windows Server 2012, les applets de commande Windows PowerShell gèrent par défaut les comptes de service administrés de groupe au lieu des comptes de service administrés autonomes d’origine.
Configuration logicielle requise
Les comptes de service administrés (et comptes d’ordinateurs virtuels) s’appliquent à Windows Server 2008 R2 et Windows Server 2012. Les comptes de service administrés de groupe ne peuvent être configurés et administrés que sur les ordinateurs exécutant Windows Server 2012. Toutefois, ils peuvent être déployés en tant que solution d’identité de service unique dans les domaines où certains contrôleurs de domaine exécutent encore des systèmes d’exploitation antérieurs à Windows Server 2012. Il n’existe aucune condition requise en ce qui concerne le niveau fonctionnel de forêt ou de domaine.
Une architecture 64 bits est requise pour exécuter les commandes Windows PowerShell utilisées pour administrer les comptes de service administrés de groupe.
Un compte de service administré dépend de types de chiffrement pris en charge par Kerberos. Lorsqu’un ordinateur client s’authentifie auprès d’un serveur à l’aide du protocole Kerberos, le contrôleur de domaine crée un ticket de service Kerberos protégé avec le chiffrement pris en charge par le serveur et par le contrôleur de domaine. Ce dernier utilise l’attribut msDS-SupportedEncryptionTypes du compte pour déterminer le chiffrement pris en charge par le serveur et, si aucun attribut n’est spécifié, il suppose que l’ordinateur client ne prend pas en charge les types de chiffrement renforcés. Si l’hôte Windows Server 2012 est configuré de façon à ne pas prendre en charge RC4, l’authentification échouera toujours. Pour cette raison, AES doit toujours être configuré de manière explicite pour les comptes de service administrés.
Notes
À compter de Windows Server 2008 R2, DES est désactivé par défaut. Pour plus d’informations sur les types de chiffrement pris en charge, voir Modifications apportées à l’authentification Kerberos.
Les comptes de service administrés de groupe ne s’appliquent pas aux systèmes d’exploitation antérieurs à Windows Server 2012.
Informations sur le Gestionnaire de serveur
Aucune étape de configuration n’est requise pour implémenter le compte de service administré et le compte de service administré de groupe à l’aide du Gestionnaire de serveur ou de l’applet de commande Install-WindowsFeature.
Voir aussi
Le tableau ci-dessous fournit des liens vers des ressources supplémentaires relatives aux comptes de service administrés et aux comptes de service administrés de groupe.
Type de contenu |
Références |
---|---|
Évaluation du produit |
Nouveautés des comptes de service administrés Documentation sur les comptes de service administrés pour Windows 7 et Windows Server 2008 R2 |
Planification |
Pas encore disponible |
Déploiement |
Pas encore disponible |
Opérations |
|
Résolution des problèmes |
Pas encore disponible |
Évaluation |
|
Outils et paramètres |
Comptes de service administrés dans les services de domaine Active Directory |
Ressources de la communauté |
Comptes de service administrés : présentation, implémentation, recommandations et dépannage |
Technologies connexes |