Начало работы с групповыми управляемыми учетными записями служб
Опубликовано: Август 2016
Применимо к: Windows Server 2012 R2, Windows Server 2012
В данном руководстве приведены пошаговые инструкции и общие сведения об активации и использовании групповых управляемых учетных записей служб в Windows Server 2012.
Содержание документа
Prerequisites
Введение
Развертывание фермы серверов федерации
Добавление узлов в существующую ферму серверов
Обновление свойств групповой учетной записи службы
Списание узлов из существующей фермы серверов
Списание существующей фермы серверов
Примечание
В этом разделе приводятся примеры командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых описанных процедур. Дополнительные сведения см. в разделе Использование командлетов.
Предварительные условия / необходимые компоненты
См. раздел Требования для групповых управляемых учетных записей служб.
Введение
Когда клиентский компьютер подключается к службе, размещенной на ферме серверов с использованием балансировки сетевой нагрузки (NLB) или какого-либо другого метода, при котором клиенту, проходящему проверку подлинности, все службы кажутся одной, протоколы проверки подлинности, поддерживающие взаимную проверку подлинности (такие как Kerberos), можно использовать, только если на всех экземплярах служб используется один и тот же субъект. Это означает, что удостоверение каждой службы должно подтверждаться одинаковым паролем или ключом.
Примечание
Отказоустойчивые кластеры не поддерживают групповые управляемые учетные записи служб. При этом групповую или автономную учетную запись службы могут использовать службы, работающие поверх службы кластеров и представляющие собой службу Windows, пул приложений или назначенную задачу либо поддерживающие такие учетные записи изначально.
Службы могут выбирать следующие разрешенные субъекты, каждый из которых обладает определенными свойствами:
Разрешенные субъекты |
Область |
Поддерживаемые службы |
Управление паролями |
|---|---|---|---|
Учетная запись компьютера в системе Windows |
Домен |
Ограничена одним сервером в домене |
Управляется компьютером |
Учетная запись компьютера без системы Windows |
Домен |
Любой сервер в домене |
Нет |
Виртуальная учетная запись |
Локальная |
Ограничена одним сервером |
Управляется компьютером |
Автономная управляемая учетная запись Windows 7 |
Домен |
Ограничена одним сервером в домене |
Управляется компьютером |
Учетная запись пользователя |
Домен |
Любой сервер в домене |
Нет |
Групповая управляемая учетная запись службы |
Домен |
Любой сервер Windows Server 2012, присоединенный к домену |
Управляется контроллером домена и извлекается узлом |
Учетные записи компьютеров Windows, автономные управляемые учетные записи Windows 7 и виртуальные учетные записи могут использоваться только в одной системе. Если вы настраиваете учетную запись, которая будет использоваться различными службами на фермах серверов, выберите учетную запись пользователя или учетную запись не в системе Windows. Такие учетные записи не имеют функции централизованного управления паролями, а значит, каждой организации придется создавать дорогое решение для обновления ключей для служб в каталоге Active Directory и их передачи во все экземпляры этих служб.
В Windows Server 2012 синхронизировать пароли между экземплярами служб при использовании автономных управляемых учетных записей служб не нужно. Вы создаете групповую управляемую учетную запись службы в Active Directory и настраиваете службу, поддерживающую управляемые учетные записи. Для подготовки групповой управляемой учетной записи службы можно использовать командлеты *-ADServiceAccount, входящие в модуль Active Directory. Конфигурацию удостоверения службы на узле поддерживают:
те же API, что и для автономных управляемых учетных записей служб, поэтому продукты, которые поддерживают автономные управляемые учетные записи служб, поддерживают и групповые;
службы, которые настраивают удостоверения для входа с помощью диспетчера управления службами;
службы, которые используют для настройки удостоверения диспетчер IIS для пулов приложений;
задачи, использующие планировщик заданий.
Дополнительные сведения об автономных управляемых учетных записях служб см. в статье Управляемые учетные записи служб. Дополнительные сведения о групповых управляемых учетных записях служб см. в разделе Group Managed Service Accounts Overview.
Требования для групповых управляемых учетных записей служб
В приведенной ниже таблице указаны требования к операционной системе, которые должны выполняться для работы проверки подлинности Kerberos со службами, использующими групповые управляемые учетные записи служб. Требования Active Directory перечислены под таблицей.
Для выполнения команд Windows PowerShell, которые используются для администрирования групповых управляемых учетных записей служб, необходима 64-разрядная архитектура.
Требования к операционной системе
Элемент |
Требование |
Операционная система |
|---|---|---|
Узел клиентского приложения |
RFC-совместимый клиент Kerberos |
Не ниже Windows XP |
Контроллеры домена учетной записи пользователя |
RFC-совместимый KDC |
Не ниже Windows Server 2003 |
Узлы, входящие в службу общего доступа |
Windows Server 2012 |
|
Контроллеры домена входящего в службу узла |
RFC-совместимый KDC |
Не ниже Windows Server 2003 |
Контроллеры домена групповой управляемой учетной записи службы |
Контроллеры доменов Windows Server 2012 для извлечения пароля |
Домены с Windows Server 2012, которые могут работать под управлением некоторых служб, предшествующих Windows Server 2012 |
Узел внутренней службы |
RFC-совместимый сервер приложений Kerberos |
Не ниже Windows Server 2003 |
Контроллеры домена учетной записи внутренней службы |
RFC-совместимый KDC |
Не ниже Windows Server 2003 |
Windows PowerShell для Active Directory |
Windows PowerShell для Active Directory, установленный на компьютере с поддержкой 64-разрядной архитектуры или на компьютере удаленного управления (например, с помощью средств удаленного администрирования сервера). |
Windows Server 2012 |
Требования доменных служб Active Directory
Для создания групповой управляемой учетной записи схему Active Directory в лесу домена таких учетных записей необходимо обновить до Windows Server 2012.
Для обновления схемы можно установить контроллер домена под управлением Windows Server 2012 или запустить соответствующую версию adprep.exe с компьютера под управлением Windows Server 2012. Значение атрибута для версии объекта CN=Schema,CN=Configuration,DC=Contoso,DC=Com должно быть равным 52.
Новая групповая управляемая учетная запись.
Новая или существующая группа безопасности, если вы даете узлу службы разрешение на использование групповой управляемой учетной записи службы группой.
Новая или существующая группа безопасности, если вы даете группе управление доступом к управляемой группе.
Если первый основной корневой ключ для Active Directory не развернут в домене или не создан, его необходимо создать. Результат создания ключа можно проверить в журнале рабочих событий KdsSvc, идентификатор события — 4004.
Инструкции для создания ключа см. в разделе Создать корневой ключ KDS службы распространения ключей. Корневым ключом для Active Directory является ключ службы распространения ключей (Майкрософт) — kdssvc.dll.
Жизненный цикл
Жизненный цикл фермы серверов с использованием функции групповых управляемых учетных записей служб включает следующие задачи:
Развертывание фермы серверов федерации
Добавление узлов в существующую ферму серверов
Списание узлов из существующей фермы серверов
Списание существующей фермы серверов
Удаление скомпрометированного узла из фермы серверов при необходимости
Развертывание фермы серверов федерации
При развертывании новой фермы серверов администратору службы необходимо определить:
поддерживает ли служба использование групповых управляемых учетных записей служб;
требует ли служба проверки подлинности входящих или исходящих подключений;
имена учетных записей компьютеров для входящих в службу узлов с использованием групповых управляемых учетных записей служб;
NetBIOS-имя службы;
имя DNS-узла службы;
имена субъектов-служб (SPN) для службы;
периодичность смены пароля (по умолчанию 30 дней).
Шаг 1. Создание групповых управляемых учетных записей служб
Создать групповую управляемую учетную запись службы можно только в том случае, если схема леса обновлена до Windows Server 2012, основной корневой ключ для Active Directory развернут, а в домене, где создается эта учетная запись, имеется хотя бы один контроллер Windows Server 2012.
Минимальным требованием для выполнения этих процедур является членство в группе Администраторы домена либо Операторы учета или наличие права на создание объектов msDS-GroupManagedServiceAccount. Дополнительные сведения об использовании подходящих учетных записей и членства в группах см. в разделе Локальные группы и группы домена по умолчанию.
Для создания групповой управляемой учетной записи службы используйте командлет New-ADServiceAccount.
В контроллере домена Windows Server 2012 запустите Windows PowerShell из панели задач.
Введите следующие команды в командной строке Windows PowerShell и нажмите клавишу ВВОД (модуль Active Directory загрузится автоматически):
New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] -SamAccountName <string> -ServicePrincipalNames <string[]>
Параметр
Строка
Пример
Название
Имя учетной записи
ITFarm1
DNSHostName
Имя DNS-узла службы
ITFarm1.contoso.com
KerberosEncryptionType
Любые виды шифрования, поддерживаемые серверами узлов
RC4, AES128, AES256
ManagedPasswordIntervalInDays
Периодичность смены пароля в днях (если не указано, используется значение по умолчанию 30)
90
PrincipalsAllowedToRetrieveManagedPassword
Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы
ITFarmHosts
SamAccountName
NetBIOS-имя службы, если не совпадает с именем
ITFarm1
ServicePrincipalNames
Имена субъектов-служб (SPN) для службы
http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Важно!
Периодичность смены пароля можно настроить только в процессе создания. Если вам нужно изменить это значение, создайте новую групповую управляемую учетную запись службы и настройте этот параметр в процессе ее создания.
Пример
Введите команды в одну строку, даже если кажется, что из-за ограничений форматирования они переносятся по словам на другую строку.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Минимальным требованием для выполнения этих процедур является членство в группе Администраторы домена либо Операторы учета или наличие права на создание объектов msDS-GroupManagedServiceAccount. Дополнительные сведения об использовании подходящих учетных записей и членства в группах см. в разделе Локальные группы и группы домена по умолчанию.
Чтобы создать групповую управляемую учетную запись службы для исходящей проверки подлинности, используйте командлет New-ADServiceAccount.
В контроллере домена Windows Server 2012 запустите Windows PowerShell из панели задач.
Введите следующие команды в командной строке Windows PowerShell и нажмите клавишу ВВОД:
New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]
Параметр
Строка
Пример
Название
Имя учетной записи
ITFarm1
ManagedPasswordIntervalInDays
Периодичность смены пароля в днях (если не указано, используется значение по умолчанию 30)
75
PrincipalsAllowedToRetrieveManagedPassword
Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы
ITFarmHosts
Важно!
Периодичность смены пароля можно настроить только в процессе создания. Если вам нужно изменить это значение, создайте новую групповую управляемую учетную запись службы и настройте этот параметр в процессе ее создания.
Пример
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts
Шаг 2. Настройка службы для приложения удостоверения служб
Настройка служб в Windows Server 2012 рассматривается в документации к следующим функциям:
Пул приложений IIS
Дополнительные сведения см. в разделе Указание удостоверения для пула приложений (IIS 7).
Службы Windows
Дополнительные сведения см. в разделе Службы.
Задачи
Дополнительные сведения см. в статье Обзор планировщика задач.
Групповые управляемые учетные записи могут поддерживать и другие службы. Информацию о настройки таких служб см. в документации к соответствующим продуктам.
Добавление узлов в существующую ферму серверов
Если для управления входящими в службу узлами используются группы безопасности, добавьте учетную запись компьютера для нового входящего в службу узла в группу безопасности (в которую входят узлы групповой управляемой учетной записи службы) одним из указанных ниже способов.
Минимальным требованием для выполнения этих процедур является членство в группе Администраторы домена или наличие права на добавление объектов в группу безопасности. Дополнительные сведения об использовании подходящих учетных записей и членства в группах см. в разделе Локальные группы и группы домена по умолчанию.
Метод 1: Active Directory — пользователи и компьютеры
Порядок использования данного метода см. в статье Добавление учетной записи компьютера в группу с помощью интерфейса Windows и Управление различными доменами в центре администрирования Active Directory.
Метод 2: dsmod
Порядок использования данного метода см. в статье Добавление учетной записи компьютера в группу с помощью командной строки.
Метод 3: командлет Add-ADPrincipalGroupMembership в Windows PowerShell Active Directory
Порядок использования данного метода см. в статье Add-ADPrincipalGroupMembership.
Если используются учетные записи компьютеров, найдите существующие учетные записи и добавьте новую учетную запись компьютера.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена либо Операторы учета или наличие права на управление объектами msDS-GroupManagedServiceAccount. Дополнительные сведения об использовании подходящих учетных записей и членства в группах см. в разделе "Локальные группы и группы домена по умолчанию".
Добавление входящих в службу узлов с помощью командлета Set-ADServiceAccount
В контроллере домена Windows Server 2012 запустите Windows PowerShell из панели задач.
Введите следующие команды в командной строке Windows PowerShell и нажмите клавишу ВВОД:
Get-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword
Введите следующие команды в командной строке Windows PowerShell и нажмите клавишу ВВОД:
Set-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Параметр |
Строка |
Пример |
|---|---|---|
Название |
Имя учетной записи |
ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword |
Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы |
Host1, Host2, Host3 |
Пример
Например, чтобы добавить входящие в службу узлы, введите следующие команды и нажмите клавишу ВВОД:
Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1-PrincipalsAllowedToRetrieveManagedPassword Host1 Host2 Host3
Обновление свойств групповой учетной записи службы
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена либо Операторы учета или наличие права на запись в объекты msDS-GroupManagedServiceAccount. Дополнительные сведения об использовании подходящих учетных записей и членства в группах см. в разделе Локальные группы и группы домена по умолчанию.
Откройте модуль Active Directory для Windows PowerShell и настройте желаемые свойства с помощью командлета Set-ADServiceAccount.
Подробную информацию об установке этих свойств см. в статье Set-ADServiceAccount в библиотеке TechNet или введите Get-Help Set-ADServiceAccount в командной строке модуля Active Directory для Windows PowerShell и нажмите клавишу ВВОД.
Списание узлов из существующей фермы серверов
Минимальным требованием для выполнения этих процедур является членство в группе Администраторы домена или наличие права на удаление объектов из группы безопасности. Дополнительные сведения об использовании подходящих учетных записей и членства в группах см. в разделе Локальные группы и группы домена по умолчанию.
Шаг 1. Удаление узла из групповой управляемой учетной записи службы
Если для управления входящими в службу узлами используются группы безопасности, удалите учетную запись компьютера для списываемого узла из группы безопасности, в которую входят узлы групповой управляемой учетной записи службы, одним из указанных ниже способов.
Метод 1: Active Directory — пользователи и компьютеры
Порядок использования данного метода см. в статье Удаление учетной записи компьютера с помощью интерфейса Windows и Управление различными доменами в центре администрирования Active Directory.
Метод 2: drsm
Порядок использования данного метода см. в статье Удаление учетной записи компьютера с помощью командной строки.
Метод 3: командлет Remove-ADPrincipalGroupMembership в Windows PowerShell Active Directory
Подробную информацию об использовании данного метода см. в статье Remove-ADPrincipalGroupMembership в библиотеке TechNet или введите Get-Help Remove-ADPrincipalGroupMembership в командной строке модуля Active Directory для Windows PowerShell и нажмите клавишу ВВОД.
Если используются учетные записи компьютеров, извлеките существующие учетные записи и добавьте все учетные записи компьютеров, кроме удаленных.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена либо Операторы учета или наличие права на управление объектами msDS-GroupManagedServiceAccount. Дополнительные сведения об использовании подходящих учетных записей и членства в группах см. в разделе "Локальные группы и группы домена по умолчанию".
Удаление входящих в службу узлов с помощью командлета Set-ADServiceAccount
В контроллере домена Windows Server 2012 запустите Windows PowerShell из панели задач.
Введите следующие команды в командной строке Windows PowerShell и нажмите клавишу ВВОД:
Get-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword
Введите следующие команды в командной строке Windows PowerShell и нажмите клавишу ВВОД:
Set-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Параметр |
Строка |
Пример |
|---|---|---|
Название |
Имя учетной записи |
ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword |
Имена учетных записей компьютеров для входящих в службу узлов или групп безопасности, в которые входят эти узлы |
Host1, Host3 |
Пример
Например, чтобы удалить входящие в службу узлы, введите следующую команду и нажмите клавишу ВВОД:
Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1 Host3
Шаг 2. Удаление групповой управляемой учетной записи службы из системы
Удалите кэшированные учетные данные групповой управляемой учетной записи службы с входящего в службу узла с помощью API Uninstall-ADServiceAccount или NetRemoveServiceAccount API в системе соответствующего узла.
Минимальным требованием для выполнения этих процедур является членство в группе Администраторы или наличие эквивалентных прав. Дополнительные сведения об использовании подходящих учетных записей и членства в группах см. в разделе Локальные группы и группы домена по умолчанию.
Удаление групповой управляемой учетной записи службы с помощью командлета Uninstall-ADServiceAccount
В контроллере домена Windows Server 2012 запустите Windows PowerShell из панели задач.
Введите следующие команды в командной строке Windows PowerShell и нажмите клавишу ВВОД:
Uninstall-ADServiceAccount <учетная_запись_службы_AD>
Пример
Например, чтобы удалить кэшированные учетные данные групповой управляемой учетной записи службы ITFarm1, введите следующую команду и нажмите клавишу ВВОД:
Uninstall-ADServiceAccount ITFarm1
Для получения дополнительных сведений о командлете Uninstall-ADServiceAccount введите в командной строке модуля Active Directory для Windows PowerShell команду Get-Help Uninstall-ADServiceAccount и нажмите клавишу ВВОД либо изучите статью Uninstall-ADServiceAccount на веб-сайте TechNet.
Списание существующей фермы серверов
При списании существующей фермы серверов необходимо удалить из Active Directory следующие объекты:
если групповая управляемая учетная запись службы является единственным объектом, то группу безопасности, в которую входит эта учетная запись и которая используется для управления доступом;
если группа безопасности используется только для входящих в службу узлов, то группу безопасности, в которую входят эти узлы;
групповую управляемую учетную запись службы.
Для удаления группы безопасности используйте оснастку "Active Directory – пользователи и компьютеры", dsrm или Remove-ADGroup. Для удаления групповой управляемой учетной записи службы используйте оснастку "Active Directory – пользователи и компьютеры" или Remove-ADServiceAccount.
Шаг 1. Удаление объектов Active Directory
Минимальным требованием для выполнения этих процедур является членство в группе Администраторы домена либо Операторы учета или наличие права на удаление объектов msDS-GroupManagedServiceAccount и объектов групп безопасности. Дополнительные сведения об использовании подходящих учетных записей и членства в группах см. в разделе Локальные группы и группы домена по умолчанию.
Удаление групповой управляемой учетной записи службы с помощью командлета Remove-ADServiceAccount.
В контроллере домена Windows Server 2012 запустите Windows PowerShell из панели задач.
Введите следующие команды в командной строке Windows PowerShell и нажмите клавишу ВВОД:
Remove-ADServiceAccount <учетная_запись_службы_AD>
Пример
Например, чтобы удалить групповую управляемую учетную запись службы ITFarm1, введите следующую команду и нажмите клавишу ВВОД:
Remove-ADServiceAccount ITFarm1
Для получения дополнительных сведений о командлете Remove-ADServiceAccount введите в командной строке модуля Active Directory для Windows PowerShell команду Get-Help Remove-ADServiceAccount и нажмите клавишу ВВОД либо изучите статью Remove-ADServiceAccount на веб-сайте TechNet.
Шаг 2. Удаление групповой управляемой учетной записи службы из системы
Выполните процедуры, описанные в разделе Шаг 2. Удаление групповой управляемой учетной записи службы из системы этой статьи.