Обзор групповых управляемых учетных записей служб

Применимо к:Windows Server 2012 R2, Windows Server 2012

В этом разделе для ИТ-специалистов представлены групповые управляемые учетные записи служб, описаны практические приложения, изменения в реализации Майкрософт, требования к оборудованию и программному обеспечению, а также дополнительные ресурсы по Windows Server 2012.

Возможно, вы имели в виду...

• Учетные записи служб 

• Управляемые учетные записи служб (изолированные)

Описание компонента

Изолированные управляемые учетные записи служб, введенные в Windows Server 2008 R2 и Windows 7, являются управляемыми учетными записями в домене, которые обеспечивают автоматическое управление паролями и упрощенное управление именами служб-участников, включая делегирование управления другим администраторам.

Групповые управляемые учетные записи служб обеспечивают те же функции в рамках домена, а кроме того, расширяют функциональность на несколько серверов.При подключении к службе, размещенной на ферме серверов, например к службе балансировки сетевой нагрузки, для протоколов взаимной проверки подлинности требуется, чтобы все экземпляры служб использовали один и тот же субъект.Когда групповые управляемые учетные записи служб используются в качестве субъектов службы, операционная система Windows управляет паролем учетной записи вместо администратора.

Служба распространения ключей (Майкрософт) (kdssvc.dll) предоставляет механизм безопасного получения новейшего или определенного ключа с помощью идентификатора ключа для учетной записи Active Directory.Служба вводится в Windows Server 2012 впервые и не работает с предыдущими версиями операционных систем Windows Server.Служба распространения ключей использует общий секрет для создания ключей учетной записи.Эти ключи периодически изменяются.В дополнение к прочим атрибутам групповых управляемых учетных записей служб контроллер домена Windows Server 2012 вычисляет пароль для ключа, предоставленного службами распространения ключей.Обратившись к контроллеру домена Windows Server 2012, узлы Windows 8 и Windows Server 2012 могут получить текущий и предыдущий пароль.

Практическое применение

Групповые управляемые учетные записи служб (MSA) позволяют использовать единое удостоверение для служб, выполняемых на ферме серверов или в системах с балансировкой сетевой нагрузки.С помощью решения групповых MSA можно настроить службы таким образом, что новый субъект и пароль групповой MSA будут управляться в системе Windows.

Если используется групповая MSA, службам или администраторам служб не требуется управлять синхронизацией паролей между экземплярами служб.Групповая управляемая учетная запись службы поддерживает узлы, которые остаются вне сети в течение продолжительного периода времени, а также управление участвующими узлами для всех экземпляров службы.Это означает, что можно развертывать ферму серверов, поддерживающую единое удостоверение, по которому существующие клиентские компьютеры могут проверять подлинность без идентификации экземпляра службы, к которому они подключаются.

Отказоустойчивые кластеры не поддерживают групповые управляемые учетные записи служб.При этом групповую или автономную учетную запись службы могут использовать службы, работающие поверх службы кластеров и представляющие собой службу Windows, пул приложений или назначенную задачу либо поддерживающие такие учетные записи изначально.

Новые и измененные функции

В таблице ниже приведены изменения в компоненте MSA.

Сведения об изменениях функций MSA см. в разделеНовые возможности управляемых учетных записей служб.

Нерекомендуемые функциональные возможности

Для Windows Server 2012 командлеты Windows PowerShell по умолчанию используют групповые, а не изолированные управляемые учетные записи служб.

Требования к программному обеспечению

Управляемые учетные записи служб (и виртуальные учетные записи компьютеров) применяются как к Windows Server 2008 R2, так и к Windows Server 2012.Настройка и администрирование групповых управляемых учетных записей служб возможны только на компьютерах под управлением Windows Server 2012, но их можно развернуть в качестве удостоверения одной службы в доменах, в которых еще существуют контроллеры, работающие с операционными системами версий более ранних, чем Windows Server 2012.Требований к режиму работы домена или леса не существует.

Для выполнения команд Windows PowerShell, которые используются для администрирования групповых управляемых учетных записей служб, необходима 64-разрядная архитектура.

Управляемая учетная запись службы зависит от поддерживаемых протоколом Kerberos типов шифрования. Если проверка подлинности клиентского компьютера на сервере выполняется с помощью Kerberos, контроллер домена создает билет службы Kerberos, защищенный шифром, который поддерживают и контроллер, и сервер.По атрибуту учетной записи msDS-SupportedEncryptionTypes контроллер домена определяет, какой тип шифрования поддерживает сервер, и, если атрибут отсутствует, считает, что клиентский компьютер не поддерживает более надежные типы шифрования.Если настройка узла Windows Server 2012 не поддерживает RC4, выполнить проверку подлинности не удастся.Поэтому стандарт AES всегда должен быть явным образом настроен для поддержки MSA.

Групповые управляемые учетные записи служб неприменимы к операционным системам Windows до Windows Server 2012.

Сведения о диспетчере сервера

Реализация MSA и групповых MSA с помощью диспетчера серверов или командлета Install-WindowsFeature не требует специальной настройки.

См. также:

В следующей таблице представлены ссылки на дополнительные ресурсы, связанные с управляемыми учетными записями служб и групповыми управляемыми учетными записями служб.