Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen

Overzicht van door een groep beheerde serviceaccounts

Corey Plett|Laatst bijgewerkt: 6-12-2016
|
1 Inzender

Van toepassing op: Windows Server 2016, Windows Server 2012 R2, WindowsServer 2012

Dit onderwerp voor IT-professionals de groep Service-Account beheerd introduceert door te beschrijven praktische toepassingen wordt gewijzigd in de implementatie en hardware- en softwarevereisten van Microsoft.

Functiebeschrijving

Zelfstandig beheerde serviceaccounts, die in Windows Server 2008 R2 en Windows 7 zijn geïntroduceerd, zijn beheerde domeinaccounts die automatisch wachtwoordbeheer en vereenvoudigd SPN-beheer bieden, inclusief delegatie van beheer aan andere beheerders.

Door groepen beheerde serviceaccounts bieden dezelfde functionaliteit binnen het domein maar bieden bovendien functionaliteit voor meerdere servers. Wanneer u verbinding maakt met een service die wordt gehost op een serverfarm, zoals Netwerktaakverdeling, moeten voor de authenticatieprotocollen die wederzijdse authenticatie ondersteunen, alle exemplaren van de services dezelfde principal gebruiken. Als door groepen beheerde serviceaccounts worden gebruikt als service-principals, wordt het wachtwoord voor het account niet beheerd door de beheerder, maar door het Windows-besturingssysteem.

De Microsoft-toets distributieservice (kdssvc.dll) biedt de mechanisme voor veilig de meest recente sleutel of met een specifieke sleutel met een sleutel-id voor een actieve map-account. De Key Distribution-service deelt een geheim dat wordt gebruikt om sleutels voor het account te maken. Deze sleutels worden regelmatig gewijzigd. Voor een groep beheerd serviceaccount wordt de domeincontroller het wachtwoord voor de sleutel door de Services van de distributie-toets Daarnaast worden geleverd met andere kenmerken van de groep beheerd Service-Account. Hosts die lid verkrijgt de huidige en vorige wachtwoord waarden contact opnemen met een domein controller nodig.

Praktische toepassingen

Door groepen beheerde serviceaccounts bevatten één identiteitsoplossing voor services die worden uitgevoerd in een serverfarm of in systemen achter Netwerktaakverdeling. Met een oplossing met door groepen beheerde serviceaccounts kunnen services worden geconfigureerd voor de nieuwe principal van het door een groep beheerde serviceaccount en wordt het wachtwoord beheerd door Windows.

Met een door een groep beheerd serviceaccount hoeven services of servicebeheerders wachtwoordsynchronisatie niet te beheren tussen service-exemplaren. Het door de groep beheerde serviceaccount ondersteunt hosts die gedurende een langere periode offline blijven en beheer van lidhosts voor alle exemplaren van een service. Dit betekent dat u een serverfarm kunt implementeren die ondersteuning biedt voor één identiteit waarnaar bestaande clientcomputers zich kunnen verifiëren zonder dat het exemplaar bekend is van de service waarmee deze verbinding maken.

Failoverclusters bieden geen ondersteuning voor gMSA's. Services die worden uitgevoerd op de Cluster-service kunnen echter een gMSA of sMSA gebruiken als ze een Windows-service, een toepassingengroep of een geplande taak zijn, of van zichzelf gMSA of sMSA ondersteunen.

Softwarevereisten

Een 64-bits architectuur is vereist voor het uitvoeren van de Windows PowerShell-opdrachten die worden gebruikt voor het beheren van groep beheerd Service Accounts.

Een beheerd serviceaccount is afhankelijk van versleutelingstypen die door Kerberos worden ondersteund. Wanneer een clientcomputer op een server wordt geverifieerd met Kerberos, wordt via de domeincontroller een Kerberos-serviceticket gemaakt met versleuteling die wordt ondersteund door de domeincontroller en de server. De DC gebruikgemaakt van de account msDS-SupportedEncryptionTypes kenmerk om te bepalen wat ondersteuning biedt voor versleuteling de server en als er geen kenmerk is, krijgt betere versleutelingstypen wordt niet ondersteund door de clientcomputer. Als de host is geconfigureerd voor RC4 niet wordt ondersteund, wordt altijd verificatie mislukt. Daarom moet AES altijd expliciet worden geconfigureerd voor beheerde serviceaccounts.

Opmerking

Begin met Windows? Server? 2008? R2, DES is standaard uitgeschakeld. Zie voor meer informatie over ondersteunde versleutelingstypen wijzigingen in Kerberos-verificatie.

Groep beheerd Service Accounts zijn niet van toepassing op Windows-besturingssystemen vóór Windows Server 2008 R2.

Serverbeheergegevens

Er zijn geen configuratiestappen opnieuw te implementeren MSA en het groeperen van MSA met behulp van Server Manager of de installatie-cmdlet WindowsFeature.

Zie ook

De volgende tabel bevat koppelingen naar aanvullende bronnen die betrekking hebben op beheerde serviceaccounts en door groepen beheerde serviceaccounts.

InhoudstypeVerwijzingen
ProductevaluatieWat is er nieuw voor beheerde serviceaccounts

Managed Service Accounts Documentation for Windows 7 and Windows Server 2008 R2 (Engelstalig)

Service-Accounts stap-door-stap handleiding
PlanningNog niet beschikbaar
ImplementatieNog niet beschikbaar
BewerkingenManaged Service Accounts in Active Directory (Engelstalig)
ProbleemoplossingNog niet beschikbaar
EvaluatieAan de slag met beheerde serviceaccounts voor een groep
Hulpprogramma's en instellingenManaged Service Accounts in Active Directory Domain Services (Engelstalig)
Communitybronnen.Managed Service Accounts: Understanding, Implementing, Best Practices, and Troubleshooting (Engelstalig)
Verwante technologieënOverzicht van Active Directory Domain Services
© 2017 Microsoft