Overzicht van door een groep beheerde serviceaccounts

Van toepassing op: Windows Server 2012 R2, Windows Server 2012

In dit onderwerp voor IT-professionals worden door groepen beheerde serviceaccounts geïntroduceerd door praktische toepassingen, wijzigingen in de Microsoft-implementatie, hardware- en softwarevereisten en aanvullende bronnen voor Windows Server 2012 te beschrijven.

Bedoelde u…

• Serviceaccounts 

• Beheerde serviceaccounts (zelfstandig)

Functiebeschrijving

Zelfstandig beheerde serviceaccounts, die in Windows Server 2008 R2 en Windows 7 zijn geïntroduceerd, zijn beheerde domeinaccounts die automatisch wachtwoordbeheer en vereenvoudigd SPN-beheer bieden, inclusief delegatie van beheer aan andere beheerders.

Door groepen beheerde serviceaccounts bieden dezelfde functionaliteit binnen het domein maar bieden bovendien functionaliteit voor meerdere servers. Wanneer u verbinding maakt met een service die wordt gehost op een serverfarm, zoals Netwerktaakverdeling, moeten voor de authenticatieprotocollen die wederzijdse authenticatie ondersteunen, alle exemplaren van de services dezelfde principal gebruiken. Als door groepen beheerde serviceaccounts worden gebruikt als service-principals, wordt het wachtwoord voor het account niet beheerd door de beheerder, maar door het Windows-besturingssysteem.

Via de Microsoft Key Distribution-service (kdssvc.dll) kan de meest recente sleutel of een specifieke sleutel veilig worden opgehaald met een sleutel-id voor een Active Directory-account. Deze service is nieuw in Windows Server 2012 en wordt niet uitgevoerd in eerdere versies van het Windows Server-besturingssysteem. De Key Distribution-service deelt een geheim dat wordt gebruikt om sleutels voor het account te maken. Deze sleutels worden regelmatig gewijzigd. Voor een door een groep beheerd serviceaccount wordt door de Windows Server 2012-domeincontroller het wachtwoord berekend voor de sleutel die is opgegeven door de Key Distribution-services, en worden andere kenmerken van het door de groep beheerde serviceaccount geleverd.Windows Server 2012- en Windows 8-lidhosts kunnen de waarden van het huidige en vorige wachtwoord aanvragen via communicatie met een Windows Server 2012-domeincontroller.

Praktische toepassingen

Door groepen beheerde serviceaccounts bevatten één identiteitsoplossing voor services die worden uitgevoerd in een serverfarm of in systemen achter Netwerktaakverdeling. Met een oplossing met door groepen beheerde serviceaccounts kunnen services worden geconfigureerd voor de nieuwe principal van het door een groep beheerde serviceaccount en wordt het wachtwoord beheerd door Windows.

Met een door een groep beheerd serviceaccount hoeven services of servicebeheerders wachtwoordsynchronisatie niet te beheren tussen service-exemplaren. Het door de groep beheerde serviceaccount ondersteunt hosts die gedurende een langere periode offline blijven en beheer van lidhosts voor alle exemplaren van een service. Dit betekent dat u een serverfarm kunt implementeren die ondersteuning biedt voor één identiteit waarnaar bestaande clientcomputers zich kunnen verifiëren zonder dat het exemplaar bekend is van de service waarmee deze verbinding maken.

Failoverclusters bieden geen ondersteuning voor gMSA's. Services die worden uitgevoerd op de Cluster-service kunnen echter een gMSA of sMSA gebruiken als ze een Windows-service, een toepassingengroep of een geplande taak zijn, of van zichzelf gMSA of sMSA ondersteunen.

Nieuwe en gewijzigde functionaliteit

In de volgende tabel ziet u de wijzigingen in de functie Beheerd serviceaccount.

Zie Wat is er nieuw voor beheerde serviceaccounts voor informatie over deze wijzigingen in functionaliteit voor beheerde serviceaccounts.

Afgeschafte functionaliteit

Voor Windows Server 2012 zijn de Windows PowerShell-cmdlets standaard ingesteld op het beheren van de door groepen beheerde serviceaccounts in plaats van de oorspronkelijke zelfstandig beheerde serviceaccounts.

Softwarevereisten

Beheerde serviceaccounts (en virtuele computeraccounts) zijn van toepassing op Windows Server 2008 R2 en Windows Server 2012. Door groepen beheerde serviceaccounts kunnen alleen worden geconfigureerd en beheerd op computers met Windows Server 2012, maar kunnen worden geïmplementeerd als een oplossing voor één service-identiteit in domeinen waarin op sommige domeincontrollers nog oudere besturingssystemen dan Windows Server 2012 worden uitgevoerd. Er zijn geen vereisten voor het functionele niveau voor domein of forest.

U hebt een 64-bits architectuur nodig om de Windows PowerShell-opdrachten uit te voeren waarmee beheerde serviceaccounts van een groep worden beheerd.

Een beheerd serviceaccount is afhankelijk van versleutelingstypen die door Kerberos worden ondersteund. Wanneer een clientcomputer op een server wordt geverifieerd met Kerberos, wordt via de domeincontroller een Kerberos-serviceticket gemaakt met versleuteling die wordt ondersteund door de domeincontroller en de server. De domeincontroller gebruikt het kenmerk msDS-SupportedEncryptionTypes van het account om te bepalen welke versleuteling wordt ondersteund door de server. Als er geen kenmerk is, wordt ervan uitgegaan dat de clientcomputer geen sterkere versleutelingstypen ondersteunt. Als de Windows Server 2012-host zo is geconfigureerd dat RC4 niet wordt ondersteund, mislukt de authenticatie altijd. Daarom moet AES altijd expliciet worden geconfigureerd voor beheerde serviceaccounts.

Door groepen beheerde serviceaccounts zijn niet van toepassing op oudere Windows-besturingssystemen dan Windows Server 2012.

Serverbeheergegevens

Er hoeven geen configuratiestappen te worden uitgevoerd om beheerde serviceaccounts en door groepen beheerde serviceaccounts te implementeren via Serverbeheer of de cmdlet Install-WindowsFeature.

Zie ook

De volgende tabel bevat koppelingen naar aanvullende bronnen die betrekking hebben op beheerde serviceaccounts en door groepen beheerde serviceaccounts.