Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen

Aan de slag met de groep beheerde serviceaccounts

Corey Plett|Laatst bijgewerkt: 10-3-2017
|
1 Inzender

Van toepassing op: Windows Server 2016, Windows Server 2012 R2, WindowsServer 2012

Deze handleiding bevat stapsgewijze instructies en achtergrondinformatie voor het inschakelen en met behulp van de groep beheerde serviceaccounts in Windows Server 2012.

In dit document

Opmerking

Dit onderwerp bevat voorbeelden Windows PowerShell-cmdlets die u gebruiken kunt voor het automatiseren van enkele van de beschreven procedures. Zie voor meer informatie met behulp van Cmdlets.

Vereisten

Zie de sectie in dit onderwerp over vereisten voor de groep beheerde serviceaccounts.

Inleiding

Worden wanneer een clientcomputer verbinding met een service die wordt gehost op een server-farm met behulp van netwerktaakverdeling (NLB) of een andere methode waarbij alle servers dezelfde service naar de client worden weergegeven maakt, klikt u vervolgens verificatieprotocollen die wederzijdse verificatie zoals Kerberos ondersteunen kunnen niet gebruikt tenzij alle exemplaren van de services dezelfde principal gebruiken. Dit betekent dat elke service heeft de dezelfde wachtwoorden/sleutels moeten gebruiken om hun identiteit te bewijzen.

Opmerking

Failoverclusters bieden geen ondersteuning voor gmsa's. Services die worden uitgevoerd op de Cluster-service kunnen echter gebruiken een gMSA of een sMSA als ze een Windows-service, een toepassingengroep, een geplande taak zijn of zichzelf gMSA of sMSA ondersteunen.

Services hebben de volgende principals waaruit kan worden gekozen, en elke principal heeft bepaalde beperkingen.

Beveiligings-principalsBereikServices die worden ondersteundWachtwoordbeheer
Computeraccount van Windows-systeemDomeinBeperkt tot één domein lid is van serverComputer beheert
Computeraccount zonder Windows-systeemDomeinElke server die lid is domeinGeen
Virtueel AccountLokaleBeperkt tot één serverComputer beheert
Windows 7 zelfstandig beheerd serviceaccountDomeinBeperkt tot één domein lid is van serverComputer beheert
GebruikersaccountDomeinElke server die lid is domeinGeen
Groep beheerd serviceaccountDomeinElke server voor het domein van Windows Server 2012De domeincontroller beheert, en de host haalt

Een Windows-account, of een Windows 7 zelfstandig beheerd serviceaccount (sMSA), of virtuele accounts kunnen niet worden gedeeld in meerdere systemen. Als u één account voor services op serverfarms om te delen configureert, moet u ervoor kiest een gebruikersaccount of een computeraccount afgezien van een Windows-systeem. In beide gevallen beschikken deze accounts hoeft niet de mogelijkheid van wachtwoordbeheer op één punt van beheer. Dit creëert u een probleem waarbij elke organisatie nodig heeft voor het maken van een kostbare oplossing voor het bijwerken van sleutels voor de service in Active Directory en vervolgens de sleutels naar alle exemplaren van deze services te distribueren.

Met Windows Server 2012 hoeft services of servicebeheerders niet voor het beheren van Wachtwoordsynchronisatie tussen service-exemplaren als door groepen beheerde serviceaccounts (gMSA). U richt de gMSA in AD en configureer vervolgens de service die ondersteuning biedt voor beheerde serviceaccounts. U kunt een gMSA inrichten met de *-ADServiceAccount-cmdlets die deel van de module Active Directory uitmaken. Configuratie van de service-identiteit op de host wordt ondersteund door:

  • Dezelfde API's als sMSA, zodat producten die ondersteuning bieden voor sMSA ook gMSA ondersteunen

  • Services die servicebesturingsbeheer gebruiken om Aanmeldingsidentiteit te configureren

  • Services die IIS-beheer voor groepen van toepassingen gebruiken om identiteit te configureren

  • Taken met behulp van Taakplanner.

Vereisten voor de groep beheerde serviceaccounts

De volgende tabel bevat de besturingssysteemvereisten voor Kerberos-verificatie om te werken met behulp van gMSA-services. De Active Directory-vereisten worden weergegeven na de tabel.

Een 64-bits architectuur is vereist voor het uitvoeren van de Windows PowerShell-opdrachten gebruikt voor het beheer van de groep beheerde serviceaccounts.

Besturingssysteemvereisten

ElementVereisteBesturingssysteem
ClienttoepassingshostRFC-compatibele Kerberos-clientMinimaal Windows XP
Domein-DC's van gebruikersaccountRFC-compatibele KDCTen minste WindowsServer 2003
Gedeelde servicelidhostsWindowsServer 2012
Van de lidhost domein-DC 'sRFC-compatibele KDCTen minste WindowsServer 2003
domein-DC's van gMSA-accountWindows Server 2012-DC's beschikbaar voor de host voor het ophalen van het wachtwoordDomein met Windows Server 2012 dat enkele systemen ouder dan Windows Server 2012 hebben kan
Back-end ServiceHostRFC-compatibele Kerberos-toepassingsserverTen minste WindowsServer 2003
Back-end-serviceaccount domein-DC 'sRFC-compatibele KDCTen minste WindowsServer 2003
Windowspowershell voor Active DirectoryWindows PowerShell voor Active Directory die lokaal is geïnstalleerd op een computer die een 64-bits architectuur ondersteunt of op uw computer voor extern beheer (bijvoorbeeld met de Remote Server Administration Toolkit)WindowsServer 2012

Vereisten voor Active Directory Domain Services

  • De Active Directory-schema in het forest van de gMSA-domein moet worden bijgewerkt naar Windows Server 2012 een gMSA maken.

    U kunt het schema bijwerken door een domeincontroller waarop Windows Server 2012 installeren of door de versie van adprep.exe uitgevoerd vanaf een computer met Windows Server 2012. De waarde van het kenmerk object-versie voor het object CN = Schema, CN = configuratie, DC = Contoso, DC = Com moet 52 zijn.

  • Nieuw gMSA-account ingericht

  • Als u beheert de servicehostmachtiging om gMSA per groep, dan nieuwe of bestaande beveiligingsgroep te gebruiken

  • Als service toegang per groep beheert, dan nieuwe of bestaande beveiligingsgroep beheren

  • Als de eerste masterhoofdsleutel voor Active Directory niet is geïmplementeerd in het domein of niet is gemaakt, moet u deze maken. Het resultaat van het maken ervan kan worden gecontroleerd in het logboek voor KdsSvc operationele gebeurtenis-ID 4004.

Voor instructies voor het maken van de sleutel, Zie hoe Key Distribution Services KDS-basissleutel maken. Microsoft Key Distribution Service (kdssvc.dll) de hoofdsleutel voor AD.

Levenscyclus

De levenscyclus van een server-farm met behulp van de functie gMSA doorgaans omvat de volgende taken:

  • Een nieuwe serverfarm implementeren

  • Lidhosts toevoegen aan een bestaande serverfarm

  • Lidhosts van een bestaande serverfarm

  • Een bestaande serverfarm buiten gebruik stellen

  • Een gecompromitteerde lidhost verwijderen uit een serverfarm indien vereist.

Een nieuwe serverfarm implementeren

Wanneer u een nieuwe serverfarm implementeert, moet de servicebeheerder om te bepalen:

  • Als de service ondersteunt het gebruik van gmsa 's

  • Als de service binnenkomende of uitgaande geverifieerde verbindingen vereist

  • De computeraccountnamen voor de lidhosts voor de service met behulp van de gMSA

  • De NetBIOS-naam voor de service

  • De DNS-hostnaam voor de service

  • De Service Principal Names (SPN's) voor de service

  • Interval voor wijzigen van het wachtwoord (de standaardwaarde is 30 dagen).

Stap 1: Inrichting groep beheerde serviceaccounts

U kunt een gMSA alleen maken als het forestschema is bijgewerkt naar Windows Server 2012, de masterhoofdsleutel voor Active Directory is geïmplementeerd en er is ten minste één domeincontroller van Windows Server 2012 in het domein waarin de gMSA wordt gemaakt.

Lidmaatschap van Domeinadministrators, Accountoperators of de mogelijkheid voor het maken van msDS-GroupManagedServiceAccount-objecten, is de minimale vereiste om de volgende procedures te voltooien.

Een gMSA maken met de cmdlet New-ADServiceAccount

  1. Voer op de Windows Server 2012-domeincontroller Windows PowerShell uit vanaf de taakbalk.

  2. Typ de volgende opdrachten bij de opdrachtprompt voor de Windows PowerShell en druk op ENTER. (De module Active Directory wordt automatisch geladen.)

    New-ADServiceAccount [-Naam] - DNSHostName [-KerberosEncryptionType ] [-ManagedPasswordIntervalInDays < NULL-waarden bevatten [Int32] >] [-PrincipalsAllowedToRetrieveManagedPassword < ADPrincipal [] >] - SamAccountName - ServicePrincipalNames < string [] >

    ParameterTekenreeksVoorbeeld
    NaamNaam van het accountITFarm1
    DNSHostNameDNS-hostnaam van de serviceITFarm1.contoso.com
    KerberosEncryptionTypeVersleutelingstypen die worden ondersteund door de host-serversRC4, AES128, AES256
    ManagedPasswordIntervalInDaysInterval voor wachtwoordwijziging in dagen (standaard is 30 dagen als niets is opgegeven)90
    PrincipalsAllowedToRetrieveManagedPasswordDe computeraccounts van de lidhosts of de beveiligingsgroep waarvan de lidhosts lid van zijnITFarmHosts
    SamAccountNameNetBIOS-naam voor de service niet hetzelfde als de naamITFarm1
    ServicePrincipalNamesService Principal Names (SPN's) voor de serviceHTTP / ITFarm1.contoso.com/contoso.com, http / ITFarm1.contoso.com/contoso, ITFarm1-http / contoso.com, ITFarm1-http/contoso
    Belangrijk

    Het interval voor wachtwoordwijziging kan alleen worden ingesteld tijdens het maken van. Als u nodig hebt om het interval te wijzigen, moet u een nieuwe gMSA maken en instellen tijdens het maken ervan.

    Voorbeeld

    Voer de opdracht op één regel, hoewel ze mogelijk de woordafbreking over meerdere regels vanwege opmaakbeperkingen.

    New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
    

Lidmaatschap van Domeinadministrators, Accountoperators, of de mogelijkheid voor het maken van msDS-GroupManagedServiceAccount-objecten, is de minimale vereiste om deze procedure te voltooien. Zie voor gedetailleerde informatie over het gebruik van de juiste accounts en groepslidmaatschappen Local and Domain Default Groups.

Voor het maken van een gMSA voor uitgaande verificatie alleen met de cmdlet New-ADServiceAccount
  1. Voer op de Windows Server 2012-domeincontroller Windows PowerShell uit vanaf de taakbalk.

  2. Typ de volgende opdrachten bij de opdrachtprompt voor de Windows PowerShell voor Active Directory-module, en druk op ENTER:

    New-ADServiceAccount [-Naam] - RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays < NULL [Int32] >] [-PrincipalsAllowedToRetrieveManagedPassword < ADPrincipal [] >]

    ParameterTekenreeksVoorbeeld
    NaamDe naam van het accountITFarm1
    ManagedPasswordIntervalInDaysInterval voor wachtwoordwijziging in dagen (standaard is 30 dagen als niets is opgegeven)75
    PrincipalsAllowedToRetrieveManagedPasswordDe computeraccounts van de lidhosts of de beveiligingsgroep waarvan de lidhosts lid van zijnITFarmHosts
    Belangrijk

    Het interval voor wachtwoordwijziging kan alleen worden ingesteld tijdens het maken van. Als u nodig hebt om het interval te wijzigen, moet u een nieuwe gMSA maken en instellen tijdens het maken ervan.

Voorbeeld

New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts

Stap 2: Service voor service-identiteitstoepassing configureren

Zie de volgende functiedocumentatie voor meer informatie over het configureren van de services in Windows Server 2012:

Andere services kunnen gMSA ondersteunen. Zie de relevante productdocumentatie voor meer informatie over het configureren van deze services.

Lidhosts toevoegen aan een bestaande serverfarm

Als u beveiligingsgroepen voor het beheren van lidhosts, het computeraccount voor de nieuwe lidhost aan de beveiligingsgroep (waarvan de lidhosts van de gMSA lid zijn van) toevoegen met behulp van een van de volgende methoden.

Lidmaatschap van Domeinadministrators, of de mogelijkheid leden toevoegen aan het beveiligingsgroepsobject, is de minimale vereiste om deze procedures te voltooien.

Als u computeraccounts gebruikt, zoekt u de bestaande accounts en voegt u het nieuwe computeraccount.

Lidmaatschap van Domeinadministrators, Accountoperators, of de mogelijkheid voor het beheren van msDS-GroupManagedServiceAccount-objecten, is de minimale vereiste om deze procedure te voltooien. Zie voor gedetailleerde informatie over het gebruik van de juiste accounts en groepslidmaatschappen Local and Domain Default Groups.

Met de cmdlet Set-ADServiceAccount lidhosts toevoegen

  1. Voer op de Windows Server 2012-domeincontroller Windows PowerShell uit vanaf de taakbalk.

  2. Typ de volgende opdrachten bij de opdrachtprompt voor de Windows PowerShell voor Active Directory-module, en druk op ENTER:

    Get-ADServiceAccount [-Naam] - PrincipalsAllowedToRetrieveManagedPassword

  3. Typ de volgende opdrachten bij de opdrachtprompt voor de Windows PowerShell voor Active Directory-module, en druk op ENTER:

    Set-ADServiceAccount [-Naam] - PrincipalsAllowedToRetrieveManagedPassword < ADPrincipal [] >

ParameterTekenreeksVoorbeeld
NaamDe naam van het accountITFarm1
PrincipalsAllowedToRetrieveManagedPasswordDe computeraccounts van de lidhosts of de beveiligingsgroep waarvan de lidhosts lid van zijnHost1, Host2, Host3

Voorbeeld

Bijvoorbeeld, om toe te voegen lid hosts Typ de volgende opdrachten en druk op ENTER.

Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1-PrincipalsAllowedToRetrieveManagedPassword Host1 Host2 Host3

De eigenschappen van de groep beheerde serviceaccounts bijwerken

Lidmaatschap van Domeinadministrators, Accountoperators, of de mogelijkheid om te schrijven naar msDS-GroupManagedServiceAccount-objecten, is de minimale vereiste om deze procedures te voltooien.

Open de Active Directory-Module voor Windows PowerShell en stel eigenschappen in met behulp van de cmdlet Set-ADServiceAccount.

Voor gedetailleerde informatie over hoe u kunt deze eigenschappen instelt, Zie Set-ADServiceAccount in de TechNet-bibliotheek of door te typen Get-Help Set-ADServiceAccount opdracht in de Active Directory-module voor Windows PowerShell-prompt en druk vervolgens op ENTER.

Lidhosts van een bestaande serverfarm

Lidmaatschap van Domeinadministrators, of de mogelijkheid leden verwijderen uit het beveiligingsgroepsobject, is de minimale vereiste om deze procedures te voltooien.

Stap 1: Lidhost verwijderen uit gMSA

Als u beveiligingsgroepen voor het beheren van lidhosts, verwijdert u het computeraccount voor de buiten gebruik gestelde host uit de beveiligingsgroep dat hosts die lid van de gMSA lid zijn van het gebruik van een van de volgende methoden zijn.

Als computeraccounts worden vermeld, wordt de bestaande accounts ophalen en vervolgens allemaal toevoegen, behalve het verwijderde computeraccount.

Lidmaatschap van Domeinadministrators, Accountoperators, of de mogelijkheid voor het beheren van msDS-GroupManagedServiceAccount-objecten, is de minimale vereiste om deze procedure te voltooien. Zie voor gedetailleerde informatie over het gebruik van de juiste accounts en groepslidmaatschappen Local and Domain Default Groups.

Met de cmdlet Set-ADServiceAccount lidhosts verwijderen
  1. Voer op de Windows Server 2012-domeincontroller Windows PowerShell uit vanaf de taakbalk.

  2. Typ de volgende opdrachten bij de opdrachtprompt voor de Windows PowerShell voor Active Directory-module, en druk op ENTER:

    Get-ADServiceAccount [-Naam] - PrincipalsAllowedToRetrieveManagedPassword

  3. Typ de volgende opdrachten bij de opdrachtprompt voor de Windows PowerShell voor Active Directory-module, en druk op ENTER:

    Set-ADServiceAccount [-Naam] - PrincipalsAllowedToRetrieveManagedPassword < ADPrincipal [] >

ParameterTekenreeksVoorbeeld
NaamDe naam van het accountITFarm1
PrincipalsAllowedToRetrieveManagedPasswordDe computeraccounts van de lidhosts of de beveiligingsgroep waarvan de lidhosts lid van zijnHost1, Host3

Voorbeeld

Bijvoorbeeld lid verwijderen hosts Typ de volgende opdrachten en druk op ENTER.

Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1 Host3

Stap 2: Door een groep beheerd serviceaccount verwijderen uit het systeem

Verwijder de referenties in cache geplaatste gMSA van de lidhost met behulp van Uninstall-ADServiceAccount of de NetRemoveServiceAccount-API op het hostsysteem.

Lidmaatschap van beheerders, of gelijkwaardig, is de minimale vereiste om deze procedures te voltooien.

Een gMSA verwijderen met de cmdlet Uninstall-ADServiceAccount
  1. Voer op de Windows Server 2012-domeincontroller Windows PowerShell uit vanaf de taakbalk.

  2. Typ de volgende opdrachten bij de opdrachtprompt voor de Windows PowerShell voor Active Directory-module, en druk op ENTER:

    Uninstall-ADServiceAccount < ADServiceAccount >

    Voorbeeld

    Bijvoorbeeld, de in cache opgeslagen referenties voor een gMSA verwijderen met de naam ITFarm1 Typ de volgende opdracht en druk op ENTER:

    Uninstall-ADServiceAccount ITFarm1
    

Voor meer informatie over de cmdlet Uninstall-ADServiceAccount in de Active Directory-module voor Windows PowerShell-opdrachtprompt, typ Get-Help Uninstall-ADServiceAccount, en druk op ENTER, of Raadpleeg de informatie op de TechNet-website op Uninstall-ADServiceAccount.

Zie ook

© 2017 Microsoft