Descrição Geral das Contas de Serviço Geridas de Grupo

Aplica-se a: Windows Server 2012 R2, Windows Server 2012

Este tópico para profissionais de TI apresenta a Conta de Serviço Gerida de grupo, descrevendo aplicações práticas, alterações na implementação da Microsoft e requisitos de hardware e software, mais recursos adicionais para o Windows Server 2012.

Quis dizer…

• Contas de serviço 

• Contas de Serviço Geridas (autónomas)

Descrição da funcionalidade

As Contas de Serviço Geridas autónomas, que foram introduzidas no Windows Server 2008 R2 e Windows 7, são contas de domínio geridas que proporcionam uma gestão automática de palavras-passe e uma gestão de SPN simplificada, incluindo a delegação da gestão a outros administradores.

A Conta de Serviço Gerida de grupo fornece a mesma funcionalidade dentro do domínio, mas também expande essa funcionalidade ao longo de vários servidores. Ao ligar a um serviço alojado num farm de servidores, como Balanceamento de Carga de Rede, os protocolos de autenticação que suportam autenticação mútua exigem que todas as instâncias dos serviços utilizem o mesmo principal. Quando Contas de Serviço Gerida de grupo são utilizadas como principais do serviço, o sistema operativo Windows gere a palavra-passe para a conta, em vez de depender do administrador para gerir a palavra-passe.

O Serviço de Distribuição de Chaves Microsoft (kdssvc.dll) fornece o mecanismo para obter, de forma segura, a chave mais recente ou uma chave específica com um identificador de chave para uma conta do Active Directory. Este serviço é novo no Windows Server 2012 e não é executado nas versões anteriores do sistema operativo Windows Server. O Serviço de Distribuição de Chaves partilha uma chave secreta, que é utilizada para criar chaves para a conta. Estas chaves são alteradas periodicamente. Para uma Conta de Serviço Gerida de grupo, o controlador de domínio do Windows Server 2012 calcula a palavra-passe na chave fornecida pelos Serviços do Distribuição de Chaves, para além de outros atributos da Conta de Serviço Gerida de grupo. Os anfitriões membros do Windows Server 2012 e Windows 8 podem obter os valores da palavra-passe atual e anterior, contactando um controlador de domínio do Windows Server 2012.

Aplicações práticas

As Contas de Serviço Geridas de grupo fornecem uma solução de identidade única para serviços em execução num farm de servidores ou em sistemas com Balanceamento de Carga de Rede. Ao fornecer uma solução MSA de grupo, os serviços podem ser configurados para o novo principal MSA do grupo, e a gestão de palavras-passe é processada pelo Windows.

Ao utilizar uma Conta de Serviço Gerida de grupo, os serviços ou os administradores de serviços não precisam de gerir a sincronização de palavras-passe entre instâncias de serviços. A Conta de Serviço Gerida de grupo suporta anfitriões que são mantidos offline durante um período de tempo prolongado e a gestão de anfitriões membros para todas as instâncias de um serviço. Isto significa que pode implementar um farm de servidores que suporta uma identidade única, na qual os computadores cliente existentes podem autenticar, sem conhecerem a instância do serviço ao qual estão a ligar.

Os clusters de ativação pós-falha não suportam gMSAs. No entanto, os serviços executados com base no serviço Cluster podem utilizar uma gMSA ou uma sMSA se forem um serviço Windows, um Conjunto aplicacional ou uma tarefa agendada, ou suportar a gMSA ou a sMSA de forma nativa.

Funcionalidade nova e alterada

A tabela seguinte indica as alterações à funcionalidade MSA.

Para informações sobre estas alterações à funcionalidade MSA, consulte Novidades de Contas de Serviço Geridas.

Funcionalidade preterida

Para o Windows Server 2012, os cmdlets do Windows PowerShell são utilizados por predefinição para gerir as Contas de Serviço Geridas de grupo, em vez das Contas de Serviço Geridas autónomas.

Requisitos de software

As Contas de Serviço Geridas (e as Contas de Computador Virtual) aplicam-se ao Windows Server 2008 R2 e Windows Server 2012. As Contas de Serviço Geridas de grupo só podem ser configuradas e administradas em computadores com o Windows Server 2012, mas podem ser implementadas como uma solução de identidade de serviço única em domínios que ainda têm alguns DCs com sistemas operativos anteriores ao Windows Server 2012. Não existem requisitos de nível funcional de domínio ou floresta.

É necessária uma arquitetura de 64 bits para executar os comandos do Windows PowerShell utilizados para administrar Contas de Serviço Geridas de grupo.

Uma conta de serviço gerida depende dos tipos de encriptação Kerberos suportados. Quando um computador cliente efetua a autenticação para um servidor utilizando o Kerberos, o DC cria uma permissão de serviço de Kerberos, protegida com encriptação que o DC e o servidor suportam. O DC utiliza o atributo msDS-SupportedEncryptionTypes da conta para determinar a encriptação que o servidor suporta e, se não existir nenhum atributo, pressupõe que o computador cliente não suporta tipos de encriptação mais fortes. Se o anfitrião do Windows Server 2012 estiver configurado para não suportar RC4, a autenticação irá falhar sempre. Por este motivo, a AES deve sempre ser explicitamente configurada para MSAs.

As Contas de Serviço Geridas de grupo não são aplicáveis a sistemas operativos Windows anteriores ao Windows Server 2012.

Informações do Gestor de Servidor

Não existem passos de configuração necessários para implementar MSA e MSA de grupo utilizando o Gestor de Servidores ou o cmdlet Install-WindowsFeature.

Consulte também

A tabela seguinte fornece ligações para recursos adicionais relacionados com Contas de Serviço Geridas e Contas de Serviço Geridas de grupo.