Mise en route avec les comptes de service administrés

 

Date de publication : août 2016

S’applique à : Windows Server 2012 R2, Windows Server 2012

Ce guide donne des informations générales et des instructions pas à pas sur l’activation et l’utilisation de comptes de service administrés de groupe dans Windows Server 2012.

Dans ce document

  • Prerequisites

  • Introduction

  • Déploiement d'une nouvelle batterie de serveurs

  • Ajout d'hôtes membres à une batterie de serveurs existante

  • Mise à jour des propriétés du compte de service administré de groupe

  • Désaffectation d'hôtes membres d'une batterie de serveurs existante

  • Désaffectation d'une batterie de serveurs existante

Notes

Cette rubrique inclut des exemples d'applets de commande Windows PowerShell que vous pouvez utiliser pour automatiser certaines des procédures décrites. Pour plus d’informations, consultez Utilisation des applets de commande.

Conditions préalables

Consultez la section de cette rubrique portant sur Conditions requises pour les comptes de service administrés de groupe.

Introduction

Lorsqu'un ordinateur client se connecte à un service qui est hébergé sur une batterie de serveurs à l'aide de l'équilibrage de la charge réseau ou d'une autre méthode dans laquelle tous les serveurs sont présentés au client comme étant un même service, les protocoles d'authentification prenant en charge l'authentification mutuelle comme Kerberos ne peuvent alors pas être utilisés sauf si toutes les instances des services utilisent le même principal. Cela signifie que tous les services doivent utiliser les mêmes mots de passe/clés pour prouver leur identité.

Notes

Les clusters de basculement ne prennent pas en charge les comptes de service administrés de groupe (gMSA, group Managed Service Account). Toutefois, les services qui s'exécutent sur le service de cluster peuvent utiliser un compte gMSA ou un compte de service administré autonome (sMSA, standalone Managed Service Account) s'il s'agit d'un service Windows, d'un pool d'applications, d'une tâche planifiée ou s'ils prennent nativement en charge les comptes gMSA ou sMSA.

Les principaux suivants sont disponibles pour les services, chacun avec certaines limitations.

Principaux

Étendue

Services pris en charge

Gestion des mots de passe

Compte d'ordinateur du système Windows

domaine.

Limité à un serveur joint à un domaine

Géré par l'ordinateur

Compte d'ordinateur sans système Windows

domaine.

Tout serveur joint à un domaine

Aucune

Compte virtuel

Local

Limité à un serveur

Géré par l'ordinateur

Compte de service administré autonome Windows 7

domaine.

Limité à un serveur joint à un domaine

Géré par l'ordinateur

Compte d’utilisateur

domaine.

Tout serveur joint à un domaine

Aucune

Compte de service administré de groupe

domaine.

Tout serveur joint à un domaine Windows Server 2012

Le contrôleur de domaine gère et l'hôte récupère

Un compte d'ordinateur Windows, un compte de service administré autonome (sMSA) Windows 7 ou des comptes virtuels ne peuvent pas être partagés sur plusieurs systèmes. Si vous configurez un compte à partager par les services de la batterie de serveurs, vous devrez choisir un compte d'utilisateur ou un compte d'ordinateur en dehors d'un système Windows. Dans tous les cas, ces comptes n'ont pas la capacité de gérer les mots de passe depuis un seul point de contrôle. Cette situation est problématique, car chaque organisation doit alors créer une solution coûteuse pour mettre à jour les clés du service dans Active Directory, puis les distribuer à toutes les instances de ces services.

Avec les comptes de service administrés de groupe (gMSA) proposés dans Windows Server 2012, les services ou les administrateurs de services n’ont pas besoin de gérer la synchronisation de mot de passe entre les instances de services. Vous configurez la fonctionnalité gMSA dans Active Directory, puis configurez le service qui prend en charge les comptes de service administrés. Vous pouvez configurer un compte gMSA à l'aide des applets de commande *-ADServiceAccount qui font partie du module Active Directory. La configuration de l'identité du service sur l'hôte est prise en charge par :

  • Les mêmes API que les comptes sMSA, de sorte que les produits qui prennent en charge les comptes sMSA prendront en charge les comptes gMSA

  • Les services qui utilisent le Gestionnaire de contrôle des services pour configurer l'identité d'ouverture de session

  • Les services qui utilisent le Gestionnaire des services IIS pour les pools d'applications pour configurer l'identité

  • Les tâches qui utilisent le Planificateur de tâches

Pour plus d’informations sur les comptes de service administrés autonomes, voir Comptes de service administrés. Pour plus d’informations sur les comptes de service administrés de groupe, voir Group Managed Service Accounts Overview.

Conditions requises pour les comptes de service administrés de groupe

Le tableau suivant répertorie la configuration requise du système d'exploitation pour que l'authentification Kerberos puisse fonctionner avec les services utilisant des comptes gMSA. Les conditions requises pour Active Directory sont répertoriées à la suite de ce tableau.

Une architecture 64 bits est requise pour exécuter les commandes Windows PowerShell utilisées pour administrer les comptes de service administrés de groupe.

Configuration système requise

Élément

Condition requise

Système d’exploitation

Hôte d'application cliente

Client Kerberos conforme aux RFC

Au minimum Windows XP

Contrôleurs de domaine du domaine du compte d'utilisateur

KDC conforme aux RFC

Au minimum Windows Server 2003

Hôtes membres du service partagé

Windows Server 2012

Contrôleurs de domaine du domaine de l'hôte membre

KDC conforme aux RFC

Au minimum Windows Server 2003

Contrôleurs de domaine du domaine du compte gMSA

Contrôleurs de domaine Windows Server 2012 disponibles pour que l’hôte puisse récupérer le mot de passe

Domaine Windows Server 2012 qui peut avoir des systèmes antérieurs à Windows Server 2012

Hôte de service principal

Serveur d'application Kerberos conforme aux RFC

Au minimum Windows Server 2003

Contrôleurs de domaine du domaine du compte de service principal

KDC conforme aux RFC

Au minimum Windows Server 2003

Windows PowerShell pour Active Directory

Windows PowerShell pour Active Directory installé localement sur un ordinateur prenant en charge une architecture 64 bits ou sur votre ordinateur d'administration à distance (utilisant par exemple les Outils d'administration de serveur distant)

Windows Server 2012

Conditions requises pour le service de domaine Active Directory

  • Le schéma Active Directory de la batterie du domaine gMSA doit être mis à jour vers Windows Server 2012 pour créer un compte gMSA.

    Vous pouvez mettre à jour ce schéma en installant un contrôleur de domaine qui exécute Windows Server 2012 ou en exécutant la version appropriée d’adprep.exe à partir d’un ordinateur exécutant Windows Server 2012. La valeur de l'attribut object-version de l'objet CN=Schema,CN=Configuration,DC=Contoso,DC=Com doit être 52.

  • Nouveau compte gMSA configuré

  • Si vous gérez l'autorisation de l'hôte de service à utiliser gMSA par groupe, alors groupe de sécurité nouveau ou existant

  • Si vous gérez le contrôle d'accès au service par groupe, alors groupe de sécurité nouveau ou existant

  • Si la première clé racine principale pour Active Directory n'est pas déployée dans le domaine ou n'a pas été créée, alors créez-la. Le résultat de sa création peut être vérifié dans le journal des opérations du service KDS, ID d'événement 4004.

Pour obtenir des instructions sur la création de la clé, voir Créer la clé racine du service de distribution de clés (KDS, Key Distribution Service). Le service de distribution de clés Microsoft (kdssvc.dll) crée la clé racine pour Active Directory.

Cycle de vie

Le cycle de vie d'une batterie de serveurs utilisant la fonctionnalité gMSA comporte généralement les tâches suivantes :

  • Déploiement d'une nouvelle batterie de serveurs

  • Ajout d'hôtes membres à une batterie de serveurs existante

  • Désaffectation d'hôtes membres d'une batterie de serveurs existante

  • Désaffectation d'une batterie de serveurs existante

  • Suppression d'un hôte membre compromis d'une batterie de serveurs, le cas échéant.

Déploiement d'une nouvelle batterie de serveurs

Lors du déploiement d'une nouvelle batterie de serveurs, l'administrateur du service devra déterminer les éléments suivants :

  • Si le service prend en charge l'utilisation de comptes gMSA

  • Si le service nécessite des connexions entrantes et sortantes authentifiées

  • Les noms de comptes d'ordinateur des hôtes membres du service utilisant la fonctionnalité gMSA

  • Le nom NetBIOS du service

  • Le nom d'hôte DNS du service

  • Les noms de principal du service (SPN) pour le service

  • L'intervalle de modification de mot de passe (la valeur par défaut est 30 jours).

Étape 1 : Configuration des comptes de service administrés de groupe

Vous pouvez créer un compte gMSA uniquement si le schéma de la batterie a été mis à jour vers Windows Server 2012, si la clé racine principale pour Active Directory a été déployée et si le domaine dans lequel le compte gMSA sera créé contient au moins un contrôleur de domaine Windows Server 2012.

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de créer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.

Pour créer un compte gMSA à l'aide de la nouvelle applet de commande New-ADServiceAccount

  1. Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.

  2. À l'invite de commandes de Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée : (Le module Active Directory sera chargé automatiquement.)

    New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] -SamAccountName <string> -ServicePrincipalNames <string[]>

    Paramètre

    String

    Exemple

    Nom

    Nom du compte

    BatterieIT1

    DNSHostName

    Nom d'hôte DNS du service

    BatterieIT1.contoso.com

    KerberosEncryptionType

    Tout type de chiffrement pris en charge par les serveurs hôtes

    RC4, AES128, AES256

    ManagedPasswordIntervalInDays

    Intervalle de modification de mot de passe exprimé en jours (la valeur par défaut est 30 jours)

    90

    PrincipalsAllowedToRetrieveManagedPassword

    Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres

    HôtesBatterieIT

    SamAccountName

    Nom NetBIOS du service s'il est différent de Name

    BatterieIT1

    ServicePrincipalNames

    Noms de principal du service (SPN) pour le service

    http/BatterieIT1.contoso.com/contoso.com, http/BatterieIT1.contoso.com/contoso, httpBatterieIT1/contoso.com, http/BatterieIT1/contoso

    Important

    L'intervalle de modification de mot de passe ne peut être défini qu'à la création. Si vous avez besoin de modifier l'intervalle, vous devez créer un nouveau compte gMSA et définir l'intervalle au moment de la création.

    Exemple

    Entrez la commande sur une seule ligne, même si elle tient ici sur plusieurs lignes du fait de contraintes de mise en forme.

    New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso 
    

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de créer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.

Pour créer un compte gMSA pour l'authentification sortante en utilisant uniquement l'applet de commande New-ADServiceAccount

  1. Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] 

    Paramètre

    String

    Exemple

    Nom

    Nom du compte

    BatterieIT1

    ManagedPasswordIntervalInDays

    Intervalle de modification de mot de passe exprimé en jours (la valeur par défaut est 30 jours)

    75

    PrincipalsAllowedToRetrieveManagedPassword

    Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres

    HôtesBatterieIT

    Important

    L'intervalle de modification de mot de passe ne peut être défini qu'à la création. Si vous avez besoin de modifier l'intervalle, vous devez créer un nouveau compte gMSA et définir l'intervalle au moment de la création.

Exemple

New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts 

Étape 2 : Configuration du service d'application d'identité au service

Pour configurer les services dans Windows Server 2012, reportez-vous à la documentation des fonctionnalités suivantes :

D'autres services peuvent prendre en charge la fonctionnalité gMSA. Reportez-vous à la documentation produit spécifique pour plus d'informations sur la configuration de ces services.

Ajout d'hôtes membres à une batterie de serveurs existante

Si vous utilisez des groupes de sécurité pour gérer les hôtes membres, ajoutez le compte d'ordinateur du nouvel hôte membre au groupe de sécurité (auquel appartiennent les hôtes membres du compte gMSA) en utilisant l'une des méthodes suivantes.

Vous devez au minimum appartenir au groupe Admins du domaine ou avoir la capacité d'ajouter des membres à l'objet de groupe de sécurité pour réaliser ces procédures. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.

Si vous utilisez des comptes d'ordinateur, recherchez les comptes existants et ajoutez le nouveau compte d'ordinateur.

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de gérer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d'informations sur l'utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.

Pour ajouter des hôtes membres à l'aide de l'applet de commande Set-ADServiceAccount

  1. Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    Get-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword

  3. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    Set-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Paramètre

String

Exemple

Nom

Nom du compte

BatterieIT1

PrincipalsAllowedToRetrieveManagedPassword

Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres

Hôte1, Hôte2, Hôte3

Exemple

Par exemple, pour ajouter des hôtes membres, tapez les commandes suivantes et appuyez sur Entrée.

Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword

Set-ADServiceAccount [-Name] ITFarm1-PrincipalsAllowedToRetrieveManagedPassword Host1 Host2 Host3

Mise à jour des propriétés du compte de service administré de groupe

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité d'écrire dans des objets msDS-GroupManagedServiceAccount pour réaliser ces procédures. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.

Ouvrez le module Active Directory pour Windows PowerShell et définissez toute propriété à l'aide de l'applet de commande Set-ADServiceAccount.

Pour plus d’informations sur la définition de ces propriétés, voir Set-ADServiceAccount dans la Bibliothèque TechNet ou tapez Get-Help Set-ADServiceAccount à l’invite de commandes du module Active Directory pour Windows PowerShell et appuyez sur ENTRÉE.

Désaffectation d'hôtes membres d'une batterie de serveurs existante

Vous devez au minimum appartenir au groupe Admins du domaine ou avoir la capacité de supprimer des membres de l'objet de groupe de sécurité pour réaliser ces procédures. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.

Étape 1 : Supprimer l'hôte membre du compte gMSA

Si vous utilisez des groupes de sécurité pour gérer les hôtes membres, supprimez le compte d'ordinateur de l'hôte membre désaffecté du groupe de sécurité auquel les hôtes membres du compte gMSA appartiennent en utilisant l'une des méthodes suivantes.

Si la liste des comptes d'ordinateur est affichée, récupérez les comptes existants, puis ajoutez tous les comptes sauf le compte d'ordinateur supprimé.

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de gérer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d'informations sur l'utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.

Pour supprimer des hôtes membres à l'aide de l'applet de commande Set-ADServiceAccount

  1. Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    Get-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword

  3. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    Set-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Paramètre

String

Exemple

Nom

Nom du compte

BatterieIT1

PrincipalsAllowedToRetrieveManagedPassword

Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres

Hôte1, Hôte3

Exemple

Par exemple, pour supprimer des hôtes membres, tapez les commandes suivantes et appuyez sur Entrée.

Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword

Set-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1 Host3

Étape 2 : Suppression d'un compte de service administré de groupe du système

Supprimez les informations d'identification de compte gMSA mises en cache de l'hôte membre à l'aide de Uninstall-ADServiceAccount ou de l'API NetRemoveServiceAccount sur le système hôte.

Vous devez au minimum appartenir au groupe Administrateurs ou à un groupe équivalent pour réaliser ces procédures. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.

Pour supprimer un compte gMSA à l'aide de l'applet de commande Uninstall-ADServiceAccount

  1. Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    Uninstall-ADServiceAccount < ADServiceAccount>

    Exemple

    Par exemple, pour supprimer les informations d'identification mises en cache pour un gMSA nommé BatterieIT1, tapez la commande suivante et appuyez sur Entrée :

    Uninstall-ADServiceAccount ITFarm1
    

Pour plus d’informations sur l’applet de commande Uninstall-ADServiceAccount, à l’invite de commandes du module Active Directory pour Windows PowerShell, tapez Get-Help Uninstall-ADServiceAccount et appuyez sur ENTRÉE ou consultez Uninstall-ADServiceAccount dans la Bibliothèque TechNet.

Désaffectation d'une batterie de serveurs existante

Lors de la désaffectation d'une batterie de serveurs existante, vous devez supprimer les objets suivants d'Active Directory :

  • Si le compte gMSA est le seul membre, le groupe de sécurité auquel le compte gMSA appartient et qui est utilisé pour le contrôle d'accès.

  • Si le groupe de sécurité est uniquement utilisé pour les hôtes membres, le groupe de sécurité auquel les hôtes membres appartiennent

  • Le compte gMSA.

Pour supprimer un groupe de sécurité, utilisez Utilisateurs et ordinateurs Active Directory, dsrm ou Remove-ADGroup. Pour supprimer un compte gMSA, utilisez Utilisateurs et ordinateurs Active Directory ou Remove-ADServiceAccount.

Étape 1 : Suppression d'objets Active Directory

Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de supprimer des objets msDS-GroupManagedServiceAccount et des objets de groupe de sécurité pour réaliser ces procédures. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.

Pour supprimer un compte gMSA à l'aide de l'applet de commande Remove-ADServiceAccount

  1. Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    Remove-ADServiceAccount < ADServiceAccount> 

    Exemple

    Par exemple, pour supprimer un compte gMSA nommé BatterieIT1, tapez la commande suivante et appuyez sur Entrée :

    Remove-ADServiceAccount ITFarm1 
    

Pour plus d’informations sur l’applet de commande Remove-ADServiceAccount, à l’invite de commandes du module Active Directory pour Windows PowerShell, tapez Get-Help Remove-ADServiceAccount et appuyez sur ENTRÉE ou consultez Remove-ADServiceAccount dans la Bibliothèque TechNet.

Étape 2 : Suppression d'un compte de service administré de groupe du système

Utilisez les procédures décrites dans Étape 2 : Suppression d'un compte de service administré de groupe du système de cette rubrique.

Voir aussi