Omówienie kont usług zarządzanych przez grupę

Dotyczy: Windows Server 2012 R2, Windows Server 2012

W tym temacie dla specjalistów IT, zawierającym wprowadzenie do kont usług zarządzanych przez grupę, opisano praktyczne aplikacje, zmiany w implementacji firmy Microsoft, wymagania dotyczące sprzętu i oprogramowania, a także dodatkowe zasoby związane z systemem Windows Server 2012.

Czy chodziło o:

• Konta usług 

• Zarządzane konta usług (autonomiczne)

Opis funkcji

Autonomiczne zarządzane konta usług, które zostały wprowadzone w systemach Windows Server 2008 R2 i Windows 7, są kontami domeny zarządzanej, które zapewniają automatyczne zarządzanie hasłami i uproszczone zarządzanie nazwami SPN, w tym delegowanie zarządzania do innych administratorów.

Konta usług zarządzane przez grupę zapewniają te same funkcje, ale rozszerzają te funkcje na wiele serwerów. Podczas nawiązywania połączenia z usługą hostowaną w farmie serwerów, taką jak równoważenie obciążenia sieciowego, protokoły uwierzytelniania obsługujące uwierzytelnianie wzajemne wymagają, aby wszystkie wystąpienia usługi używały tej samej nazwy głównej. Gdy konta usług zarządzane przez grupę są używane jako nazwy główne usług, system operacyjny Windows zarządza hasłem dla konta, zdejmując to zadanie z administratora.

Usługa dystrybucji kluczy firmy Microsoft (kdssvc.dll) zapewnia mechanizm bezpiecznego uzyskiwania najnowszego klucza lub określonego klucza z identyfikatorem klucza dla konta usługi Active Directory. Ta usługa jest nowym składnikiem systemu Windows Server 2012 i nie działa w poprzednich wersjach systemu operacyjnego Windows Server. Usługa dystrybucji kluczy udostępnia klucz tajny, który jest używany do tworzenia kluczy dla konta. Klucze te są co jakiś czas zmieniane. W przypadku konta usługi zarządzanego przez grupę kontroler domeny systemu Windows Server 2012 oblicza hasło dla klucza udostępnionego przez usługi dystrybucji kluczy oprócz innych atrybutów konta usługi zarządzanego przez grupę. Hosty członkowskie systemów Windows Server 2012 i Windows 8 mogą uzyskać bieżące i poprzednie wartości haseł, kontaktując się z kontrolerem domeny systemu Windows Server 2012.

Zastosowania praktyczne

Konta usług zarządzane przez grupę stanowią jedno rozwiązanie w zakresie obsługi tożsamości dla usług uruchomionych w farmie serwerów lub w systemach z równoważeniem obciążenia sieciowego. Zapewniając rozwiązanie w zakresie kont usług zarządzanych przez grupę, można konfigurować usługi dla nowej nazwy głównej zarządzanego konta i korzystać z obsługi haseł przez system Windows.

Użycie konta usługi zarządzanego przez grupę nie oznacza, że usługi lub administratorzy usług nie muszą zarządzać synchronizacją haseł między wystąpieniami usługi. Funkcja kont usług zarządzanych przez grupę obsługuje hosty pozostające w trybie offline przez dłuższy czas i zarządzanie hostami członkowskimi dla wszystkich wystąpień usługi. Oznacza to, że można wdrożyć farmę serwerów obsługującą jedną tożsamość, której istniejące komputery klienckie mogą używać do uwierzytelniania bez uprzedniego uzyskania informacji o wystąpieniu usługi, z którym nawiązują połączenie.

Klastry trybu failover nie obsługują kont usług zarządzanych przez grupę. Jednak usługi, które działają ponad usługą klastrowania, mogą używać konta usługi zarządzanego przez grupę lub autonomicznego zarządzanego konta usługi, jeśli należą do jednej z następujących kategorii: usługa systemu Windows, pula aplikacji, zadanie zaplanowane lub usługa natywnie obsługująca konta usług zarządzane przez grupę bądź autonomiczne zarządzane konta usług.

Nowe i zmienione funkcje

Poniższa tabela zawiera informacje dotyczące zmian w funkcji zarządzanych kont usług.

Aby uzyskać informacje dotyczące tych zmian w funkcji zarządzanych kont usług, zobacz Co nowego w zarządzanych kontach usług.

Funkcje uznane za przestarzałe

W przypadku systemu Windows Server 2012 polecenia cmdlet programu Windows PowerShell domyślnie zarządzają kontami usług zarządzanymi przez grupę, a nie oryginalnymi autonomicznymi zarządzanymi kontami usług.

Wymagania dotyczące oprogramowania

Zarządzane konta usług (i konta komputerów wirtualnych) dotyczą zarówno systemu Windows Server 2008 R2, jak i systemu Windows Server 2012. Konta usług zarządzane przez grupę można konfigurować (i zarządzać nimi) tylko na komputerach z systemem Windows Server 2012, ale można je wdrażać jako rozwiązanie w zakresie jednej tożsamości usługi w domenach, które nadal mają kilka kontrolerów domeny z systemami operacyjnymi wcześniejszymi niż Windows Server 2012. Nie określono żadnych wymagań dotyczących poziomu funkcjonalnego domeny ani lasu.

Do uruchomienia poleceń środowiska Windows PowerShell, które są używane w celu administrowania kontami usług zarządzanymi przez grupę, jest wymagana architektura 64-bitowa.

Zarządzane konto usługi jest zależne od typów szyfrowania obsługiwanych przez protokół Kerberos. Gdy komputer kliencki uwierzytelnia się na serwerze przy użyciu protokołu Kerberos, kontroler domeny tworzy bilet usługi Kerberos chroniony przy użyciu szyfrowania obsługiwanego zarówno przez kontroler domeny, jak i serwer. Kontroler domeny używa atrybutu msDS-SupportedEncryptionTypes konta w celu określenia, jakie szyfrowanie jest obsługiwane przez serwer, a jeśli nie ma atrybutu, zakłada, że komputer kliencki nie obsługuje silniejszych typów szyfrowania. Jeśli host systemu Windows Server 2012 jest skonfigurowany bez obsługi szyfrowania RC4, uwierzytelnianie zawsze kończy się niepowodzeniem. Dlatego szyfrowanie AES powinno być zawsze wyraźnie konfigurowane na potrzeby zarządzanych kont usług.

Konta usług zarządzane przez grupę nie mają zastosowania do systemów operacyjnych Windows starszych niż Windows Server 2012.

Informacje o Menedżerze serwera

Implementacja zarządzanych kont usług i kont usług zarządzanych przez grupę przy użyciu Menedżera serwera lub polecenia cmdlet Install-WindowsFeature nie wymaga żadnych kroków konfiguracyjnych.

Zobacz też

Poniższa tabela zawiera łącza do dodatkowych zasobów związanych z zarządzanymi kontami usług i kontami usług zarządzanymi przez grupę.