Markieren Sie das Kontrollkästchen Englisch, um die englische Version dieses Artikels anzuzeigen. Sie können den englischen Text auch in einem Popup-Fenster einblenden, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Gruppenverwaltete Dienstkonten: Übersicht

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

In diesem Thema für IT-Spezialisten wird das gruppenverwaltete Dienstkonto eingeführt. Hierzu werden praktische Anwendungen, Änderungen in der Implementierung von Microsoft, Hard- und Softwareanforderungen sowie zusätzliche Ressourcen für Windows Server 2012 beschrieben.

Meinten Sie…

Eigenständige verwaltete Dienstkonten, die in Windows Server 2008 R2 und Windows 7 eingeführt wurden, sind verwaltete Domänenkonten, die eine automatische Kennwortverwaltung sowie eine vereinfachte Verwaltung von Dienstprinzipalnamen (Service Principal Names, SPNs) ermöglichen – einschließlich Delegierung der Verwaltung an andere Administratoren.

Das gruppenverwaltete Dienstkonto bietet die gleiche Funktionalität innerhalb der Domäne, weitet diese Funktionalität jedoch zudem auf mehrere Server aus. Beim Herstellen einer Verbindung mit einem Dienst, der in einer Serverfarm gehostet wird (beispielsweise ein Netzwerklastenausgleich), erfordern die Authentifizierungsprotokolle mit gegenseitiger Authentifizierung, dass alle Instanzen der Dienste den gleichen Prinzipal verwenden. Falls gruppenverwaltete Dienstkonten als Dienstprinzipale verwendet werden, wird das Kennwort für das Konto vom Windows-Betriebssystem verwaltet, anstatt die Kennwortverwaltung dem Administrator zu überlassen.

Der Microsoft-Schlüsselverteilungsdienst ("kdssvc.dll") stellt den Mechanismus zum sicheren Abrufen des aktuellen Schlüssels oder eines bestimmten Schlüssels mit einer Schlüssel-ID für ein Active Directory-Konto bereit. Dieser Dienst ist neu in Windows Server 2012 und kann unter älteren Versionen des Windows Server-Betriebssystems nicht ausgeführt werden. Vom Schlüsselverteilungsdienst werden geheime Informationen zur Erstellung von Schlüsseln für das Konto bereitgestellt. Diese Schlüssel werden regelmäßig geändert. Bei einem gruppenverwalteten Dienstkonto berechnet der Windows Server 2012-Domänencontroller das Kennwort für den vom Schlüsselverteilungsdienst angegebenen Schlüssel – genau wie andere Attribute des gruppenverwalteten Dienstkontos. Aktuelle und ältere Kennwortwerte können von Windows Server 2012- und Windows 8-Mitgliedshosts durch Kontaktieren eines Windows Server 2012-Domänencontrollers abgerufen werden.

Gruppenverwaltete Dienstkonten bieten eine Einzelidentitätslösung für Dienste, die in einer Serverfarm oder auf Systemen hinter einem Netzwerklastenausgleich ausgeführt werden. Indem eine Lösung für gruppenverwaltete Dienstkonten (Gruppen-MSA-Lösung) bereitgestellt wird, können Dienste für den neuen Gruppen-MSA-Prinzipal konfiguriert werden, während die Kennwortverwaltung von Windows übernommen wird.

Bei Verwendung eines gruppenverwalteten Dienstkontos brauchen Dienste oder Dienstadministratoren keine Kennwortsynchronisierung zwischen Dienstinstanzen zu verwalten. Das gruppenverwaltete Dienstkonto unterstützt Hosts, die über einen längeren Zeitraum offline sind, sowie die Verwaltung von Mitgliedshosts für alle Instanzen eines Diensts. Sie können also eine Serverfarm bereitstellen, die eine einzelne Identität unterstützt, gegenüber der sich vorhandene Clientcomputer authentifizieren können, ohne zu wissen, mit welcher Instanz des Diensts eine Verbindung hergestellt wird.

Failovercluster unterstützen keine gruppenverwalteten Dienstkonten. Dienste, die oben im Clusterdienst ausgeführt werden, können jedoch ein gMSA oder sMSA verwenden, wenn sie ein Windows-Dienst, ein App-Pool, eine geplante Aufgabe oder gMSA oder sMSA systemeigen unterstützen.

In der folgenden Tabelle sind die Änderungen des MSA-Features aufgeführt.

Feature/Funktionalität

Windows Server 2008 R2

Windows Server 2012

Konten virtueller Computer

X

X

Verwaltete Dienstkonten

X

X

Gruppenverwaltete Dienstkonten

X

Windows PowerShell-Cmdlets

X

X

Weitere Informationen zu diesen Funktionsänderungen für MSA finden Sie unter Neues für verwaltete Dienstkonten.

In Windows Server 2012 werden die Windows PowerShell-Cmdlets standardmäßig für die Verwaltung der gruppenverwalteten Dienstkonten anstatt für die ursprünglichen eigenständigen Dienstkonten verwendet.

Verwaltete Dienstkonten (und virtuelle Computerkonten) gelten sowohl für Windows Server 2008 R2 als auch für Windows Server 2012. Gruppenverwaltete Dienstkonten können nur auf Computern unter Windows Server 2012 konfiguriert und verwaltet werden. Sie können jedoch als Lösung mit einzelner Dienstidentität in Domänen bereitgestellt werden, in denen noch Domänencontroller unter Betriebssystemen vor Windows Server 2012 vorhanden sind. Auf Domänen- oder Gesamtstrukturfunktionsebene gelten keine Anforderungen.

Zum Ausführen der Windows PowerShell-Befehle ist eine 64-Bit-Architektur erforderlich, die zum Verwalten von gruppenverwalteten Dienstkonten (group Managed Service Accounts, gMSA) verwendet werden.

Ein verwaltetes Dienstkonto ist abhängig von Verschlüsselungstypen mit Kerberos-Unterstützung. Wenn sich ein Clientcomputer gegenüber einem Server per Kerberos authentifiziert, wird vom Domänencontroller ein Kerberos-Dienstticket erstellt, das mit einer Verschlüsselung geschützt ist, die sowohl vom Domänencontroller als auch vom Server unterstützt wird. Die vom Server unterstützte Verschlüsselung wird vom Domänencontroller anhand des msDS-SupportedEncryptionTypes-Attributs des Kontos ermittelt. Sollte kein Attribut vorhanden sein, wird davon ausgegangen, dass vom Clientcomputer keine sichereren Verschlüsselungsarten unterstützt werden. Wird RC4 aufgrund der Konfiguration des Windows Server 2012-Hosts nicht unterstützt, tritt bei der Authentifizierung immer ein Fehler auf. Aus diesem Grund muss AES für verwaltete Dienstkonten immer explizit konfiguriert sein.

System_CAPS_noteHinweis

Ab Windows Server 2008 R2 ist DES standardmäßig deaktiviert. Weitere Informationen zu den unterstützten Verschlüsselungsarten finden Sie unter Changes in Kerberos Authentication.

Gruppenverwaltete Dienstkonten sind für Windows-Betriebssysteme vor Windows Server 2012 nicht verfügbar.

Es sind keine Konfigurationsschritte erforderlich, um (gruppen-)verwaltete Dienstkonten mit dem Server-Manager oder dem Cmdlet "Install-WindowsFeature" zu implementieren.

In der folgenden Tabelle sind Links zu weiterführenden Ressourcen im Zusammenhang mit verwalteten Dienstkonten und gruppenverwalteten Dienstkonten aufgeführt.

Inhaltstyp

Verweise

Produktbewertung

Neues für verwaltete Dienstkonten

Dokumentation zu verwalteten Dienstkonten für Windows 7 und Windows Server 2008 R2

Schrittweise Anleitung zu Dienstkonten (möglicherweise in englischer Sprache)

Planen

Noch nicht verfügbar

Bereitstellung

Noch nicht verfügbar

Betrieb

Verwaltete Dienstkonten in Active Directory

Problembehandlung

Noch nicht verfügbar

Bewertung

Erste Schritte mit gruppenverwalteten Dienstkonten

Tools und Einstellungen

Verwaltete Dienstkonten in Active Directory-Domänendiensten

Communityressourcen

Verwaltete Dienstkonten: Grundlegendes, Implementierung, bewährte Methoden und Problembehandlung

Verwandte Technologien

Übersicht über Active Directory-Domänendienste

Anzeigen: