Introdução a contas de serviços gerenciados de grupo
Publicado: agosto de 2016
Aplicável a: Windows Server 2012 R2, Windows Server 2012
Este guia fornece instruções passo a passo e informações para habilitar e usar as Contas de Serviço Gerenciado de grupo no Windows Server 2012.
Neste documento
Prerequisites
Introdução
Implantando um novo farm de servidores
Adicionando hosts membros a um farm de servidores existente
Atualizando as propriedades da Conta de Serviço Gerenciado de grupo
Encerrando hosts membros em um farm de servidores existente
Encerrando um farm de servidores existente
Dica
Este tópico inclui cmdlets do Windows PowerShell de exemplo que podem ser usados para automatizar alguns dos procedimentos descritos. Para obter mais informações, confira Usando os Cmdlets.
Pré-requisitos
Consulte a seção neste tópico sobre Requisitos para as Contas de Serviço Gerenciado de grupo.
Introdução
Quando um computador cliente se conecta a um serviço hospedado em um farm de servidores que usa NLB (balanceamento de carga de rede) ou algum outro método em que, para o cliente, todos os servidores parecem ser o mesmo serviço; os protocolos de autenticação que dão suporte à autenticação mútua, tal como o Kerberos, não podem ser usados, a menos que todas as instâncias dos serviços usem a mesma entidade. Isso significa que cada serviço tem que usar as mesmas senhas/chaves para provar sua identidade.
Dica
Os clusters de failover não dão suporte a gMSAs. No entanto, os serviços que são executados sobre o Serviço de cluster poderão usar uma gMSA ou uma sMSA, se forem um serviço Windows, um pool de aplicativos, uma tarefa agendada ou oferecerem suporte nativo a gMSA ou sMSA.
Os serviços têm as entidades a seguir entre as quais escolher, e cada uma delas apresenta determinadas limitações.
Entidades |
Escopo |
Serviços com suporte |
Gerenciamento de senhas |
|---|---|---|---|
Conta de Computador do sistema do Windows |
Domínio |
Limitado a um servidor ingressado no domínio |
O computador gerencia |
Conta de Computador sem o sistema do Windows |
Domínio |
Qualquer servidor ingressado no domínio |
Não |
Conta Virtual |
Local |
Limitado a um servidor |
O computador gerencia |
Conta de Serviço Gerenciado independente do Windows 7 |
Domínio |
Limitado a um servidor ingressado no domínio |
O computador gerencia |
Conta de Usuário |
Domínio |
Qualquer servidor ingressado no domínio |
Não |
Conta de Serviço Gerenciado de Grupo |
Domínio |
Qualquer servidor ingressado no domínio do Windows Server 2012 |
O controlador de domínio gerencia e o host recupera |
Uma conta de computador do Windows, uma sMSA (Conta de Serviço Gerenciado independente) do Windows 7 ou contas virtuais não podem ser compartilhadas em diversos sistemas. Se você configurasse uma conta para serviços em farms de servidores a serem compartilhados, teria que escolher uma conta de usuário ou uma conta de computador separada do sistema do Windows. De qualquer maneira, essas contas não têm a funcionalidade de gerenciamento de senhas de ponto único de controle. Isso cria um problema em que cada organização precisa criar uma solução dispendiosa para atualizar chaves do serviço no Active Directory e distribuir as chaves a todas as instâncias desses serviços.
Com o Windows Server 2012, os serviços ou administradores de serviços não precisam gerenciar a sincronização de senha entre as instâncias de serviço ao usarem as gMSA (Contas de Serviço Gerenciado de grupo). Você provisiona a gMSA no AD e configura os serviços que dão suporte a Contas de Serviço Gerenciado. Você pode provisionar uma gMSA usando os cmdlets *-ADServiceAccount que fazem parte do módulo do Active Directory. A configuração de identidade do serviço no host tem suporte por:
Algumas APIs, como sMSA, portanto, produtos que dão suporte a sMSA oferecerão suporte a gMSA
Serviços que usam o Gerenciador de Controle de Serviço para configurar a identidade de logon
Serviços que usam o gerenciador do IIS em pools de aplicativos para configurar identidade
Tarefas que usam o Agendador de Tarefas.
Para obter mais informações sobre as contas de serviço gerenciado autônomas, consulte Contas de serviço gerenciado. Para obter mais informações sobre as Contas de Serviço Gerenciado de grupo, consulte Group Managed Service Accounts Overview.
Requisitos para as Contas de Serviço Gerenciado de grupo
A tabela a seguir lista os requisitos de sistema operacional para a autenticação Kerberos funcionar com serviços que usam gMSA. Os requisitos do Active Directory estão listados após a tabela.
Uma arquitetura de 64 bits é necessária para executar os comandos do Windows PowerShell usados para administrar as Contas de Serviço Gerenciado de grupo.
Requisitos de sistema operacional
Elemento |
Requisito |
Sistema operacional |
|---|---|---|
Host de Aplicativo Cliente |
Cliente Kerberos compatível com RFC |
Pelo menos Windows XP |
DCs de domínio da conta de usuário |
KDC compatível com RFC |
Pelo menos Windows Server 2003 |
Hosts membros de serviço compartilhado |
Windows Server 2012 |
|
DCs de domínio do host membro |
KDC compatível com RFC |
Pelo menos Windows Server 2003 |
DCs de domínio da conta gMSA |
DCs do Windows Server 2012 disponíveis para o host recuperar a senha |
Domínio com o Windows Server 2012 que pode ter alguns sistemas anteriores ao Windows Server 2012 |
Host de serviço back-end |
Servidor de aplicativos Kerberos compatível com RFC |
Pelo menos Windows Server 2003 |
DCs de domínio da conta de serviço back-end |
KDC compatível com RFC |
Pelo menos Windows Server 2003 |
Windows PowerShell para Active Directory |
Windows PowerShell para Active Directory instalado localmente em um computador que dê suporte a uma arquitetura de 64 bits ou em seu computador de gerenciamento remoto (por exemplo, usando o Remote Server Administration Toolkit) |
Windows Server 2012 |
Requisitos do Serviço de Domínio Active Directory
O esquema do Active Directory na floresta de domínio da gMSA precisa ser atualizado para Windows Server 2012 a fim de criar uma gMSA.
É possível atualizar o esquema ao instalar um controlador de domínio que executa o Windows Server 2012 ou ao executar a versão de adprep.exe de um computador que executa o Windows Server 2012. O valor de atributo de versão do objeto para o objeto CN=Schema,CN=Configuration,DC=Contoso,DC=Com deve ser 52.
Nova conta gMSA provisionada
Se você estiver gerenciando a permissão de host do serviço para usar a gMSA por grupo, o grupo de segurança novo ou existente
Se estiver gerenciando o controle de acesso ao serviço por grupo, o grupo de segurança novo ou existente
Se a primeira chave raiz mestra do Active Directory não estiver implantada no domínio ou não tiver sido criada, crie-a. O resultado dessa criação pode ser verificado no log Operacional KdsSvc, ID de Evento 4004.
Para obter instruções sobre como criar a chave, consulte Criar a chave raiz do KDS (serviço de distribuição de chave). A chave raiz do Serviço de Distribuição de Chave da Microsoft (kdssvc.dll) do AD.
Ciclo de vida
O ciclo de vida de um farm de servidores que usa um recurso de gMSA geralmente envolve as seguintes tarefas:
Implantando um novo farm de servidores
Adicionando hosts membros a um farm de servidores existente
Encerrando hosts membros em um farm de servidores existente
Encerrando um farm de servidores existente
Removendo um host membro comprometido de um farm de servidores, se necessário.
Implantando um novo farm de servidores
Ao implantar um novo farm de servidores, o administrador de serviço precisará determinar:
Se o serviço dá suporte ao uso de gMSAs
Se o serviço requer conexões autenticadas de entrada ou de saída
Os nomes de conta do computador dos hosts membros para o serviço que usa a gMSA
O nome NetBIOS para o serviço
O nome de host DNS para o serviço
Os SPNs (Nomes da Entidades de Serviço) para o serviço
O intervalo de alteração de senha (o padrão é 30 dias).
Etapa 1: provisionando Contas de Serviço Gerenciado de grupo
Será possível criar uma gMSA apenas se o esquema de floresta tiver sido atualizado para o Windows Server 2012, a chave raiz mestra do Active Directory tiver sido implantada e se houver, no mínimo, um DC do Windows Server 2012 no domínio no qual a gMSA será criada.
A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de criar objetos msDS-GroupManagedServiceAccount é o mínimo necessário para concluir os procedimentos a seguir. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Para criar uma gMSA usando o cmdlet New-ADServiceAccount
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do Windows PowerShell, digite os comandos a seguir e pressione ENTER. (O módulo Active Directory será carregado automaticamente.)
New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] -SamAccountName <string> -ServicePrincipalNames <string[]>
Parâmetro
Cadeia de caracteres
Exemplo
Nome
Nome da conta
ITFarm1
DNSHostName
Nome de host DNS do serviço
ITFarm1.contoso.com
KerberosEncryptionType
Quaisquer tipos de criptografia com suporte pelos servidores host
RC4, AES128, AES256
ManagedPasswordIntervalInDays
Intervalo de alteração de senha em dias (o padrão é 30 dias, se nenhum tiver sido fornecido)
90
PrincipalsAllowedToRetrieveManagedPassword
As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte
ITFarmHosts
SamAccountName
Nome NetBIOS para o serviço, se não for igual a Nome
ITFarm1
ServicePrincipalNames
SPNs (Nomes da entidade de serviço) para o serviço
http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Importante
O intervalo de alteração de senha só pode ser configurado durante a criação. Se for necessário alterar o intervalo, crie uma nova gMSA e configure-a no momento da criação.
Exemplo
Insira o comando em uma única linha, mesmo se houver quebra automática de linha em várias linhas devido a restrições de formatação.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de criar objetos de msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Para criar uma gMSA para autenticação de saída usando apenas o cmdlet New-ADServiceAccount
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]
Parâmetro
Cadeia de caracteres
Exemplo
Nome
Nome da conta
ITFarm1
ManagedPasswordIntervalInDays
Intervalo de alteração de senha em dias (o padrão é 30 dias, se nenhum tiver sido fornecido)
75
PrincipalsAllowedToRetrieveManagedPassword
As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte
ITFarmHosts
Importante
O intervalo de alteração de senha só pode ser configurado durante a criação. Se for necessário alterar o intervalo, crie uma nova gMSA e configure-a no momento da criação.
Exemplo
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts
Etapa 2: configurando o serviço de aplicativo de identidade do serviço
Para configurar os serviços no Windows Server 2012, consulte a documentação dos seguintes recursos:
Pool de aplicativos do IIS
Para obter mais informações, consulte Especificar uma identidade para um pool de aplicativos (IIS 7).
Serviços Windows
Para obter mais informações, consulte Serviços.
Tarefas
Para obter mais informações, consulte Visão geral sobre o Agendador de Tarefas.
Outros serviços poderiam dar suporte a gMSA. Consulte a documentação de produto apropriada para obter detalhes sobre como configurar esses serviços.
Adicionando hosts membros a um farm de servidores existente
Se estiver usando grupos de segurança para gerenciar hosts membros, adicione a conta de computador do novo host membro ao grupo de segurança (dos quais os hosts membro da gMSA fazem parte) usando um dos métodos a seguir.
A associação em Admins. do Domínio ou a capacidade de adicionar membros ao objeto de grupo de segurança é o mínimo necessário para concluir esses procedimentos. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Método 1: Usuários e computadores do Active Directory
Para obter os procedimentos sobre como usar o método, consulte Adicionar uma conta de computador a um grupo usando a interface do Windows e Gerenciar diferentes domínios no Centro Administrativo do Active Directory.
Método 2: dsmod
Para obter os procedimentos sobre como usar o método, consulte Adicionar uma conta de computador a um grupo usando a linha de comando.
Método 3: cmdlet Active Directory Add-ADPrincipalGroupMembership do Windows PowerShell
Para obter os procedimentos sobre como usar o método, consulte Add-ADPrincipalGroupMembership.
Se estiver usando contas de computador, localize as contas existentes e adicione a nova conta de computador.
A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de gerenciar objetos de msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Para adicionar hosts membros usando o cmdlet Set-ADServiceAccount
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Get-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Set-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Parâmetro |
Cadeia de caracteres |
Exemplo |
|---|---|---|
Nome |
Nome da conta |
ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword |
As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte |
Host1, Host2, Host3 |
Exemplo
Por exemplo, para adicionar hosts membros, digite os comandos a seguir e pressione ENTER.
Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1-PrincipalsAllowedToRetrieveManagedPassword Host1 Host2 Host3
Atualizando as propriedades da Conta de Serviço Gerenciado de grupo
A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de gravar em objetos msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esses procedimentos. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Abra o Módulo Active Directory do Windows PowerShell e configure qualquer propriedade usando o cmdlet Set-ADServiceAccount.
Para obter informações detalhadas sobre como configurar essas propriedades, consulte Set-ADServiceAccount na Biblioteca do TechNet ou digite Get-Help Set-ADServiceAccount no prompt de comando do módulo Active Directory para Windows PowerShell e pressione ENTER.
Encerrando hosts membros em um farm de servidores existente
A associação em Admins. do Domínio ou a capacidade de remover membros do objeto de grupo de segurança é o mínimo necessário para concluir esses procedimentos. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Etapa 1: remover host membro da gMSA
Se estiver usando grupos de segurança para gerenciar hosts membros, remova a conta de computador do host membro encerrado no grupo de segurança do qual os hosts membro da gMSA fazem parte usando um dos métodos a seguir.
Método 1: Usuários e computadores do Active Directory
Para obter os procedimentos sobre como usar o método, consulte Excluir uma conta de computador usando a interface do Windows e Gerenciar diferentes domínios no Centro Administrativo do Active Directory.
Método 2: drsm
Para obter os procedimentos sobre como usar o método, consulte Excluir uma conta de computador usando a linha de comando.
Método 3: cmdlet Active Directory Remove-ADPrincipalGroupMembership do Windows PowerShell
Para obter informações detalhadas sobre como fazer isso, consulte Remove-ADPrincipalGroupMembership na Biblioteca do TechNet ou digite Get-Help Remove-ADPrincipalGroupMembership no prompt de comando do módulo Active Directory para Windows PowerShell e pressione ENTER.
Se estiver listando contas de computador, recupere as contas existentes e adicione todas, exceto a conta de computador removida.
A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de gerenciar objetos de msDS-GroupManagedServiceAccount é o mínimo necessário para concluir esse procedimento. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Para remover hosts membros usando o cmdlet Set-ADServiceAccount
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Get-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Set-ADServiceAccount [-Name] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Parâmetro |
Cadeia de caracteres |
Exemplo |
|---|---|---|
Nome |
Nome da conta |
ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword |
As contas de computador dos hosts membros ou o grupo de segurança dos quais os hosts membros fazem parte |
Host1, Host3 |
Exemplo
Por exemplo, para remover hosts membros, digite os comandos a seguir e pressione ENTER.
Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1 Host3
Etapa 2: removendo uma Conta de Serviço Gerenciado de grupo do sistema
Remover as credenciais da gMSA armazenadas em cache do host membro usando a API Uninstall-ADServiceAccount ou NetRemoveServiceAccount no sistema host.
A associação em Administradores ou equivalente é o mínimo necessário para concluir esses procedimentos. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Para remover uma gMSA usando o cmdlet Uninstall-ADServiceAccount
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Uninstall-ADServiceAccount < ADServiceAccount>
Exemplo
Por exemplo, para remover as credenciais armazenadas em cache para uma gMSA denominada ITFarm1, digite o seguinte comando e pressione ENTER:
Uninstall-ADServiceAccount ITFarm1
Para obter mais informações sobre o cmdlet Uninstall-ADServiceAccount, no prompt de comando do módulo Active Directory para Windows PowerShell, digite Get-Help Uninstall-ADServiceAccount e pressione ENTER ou consulte as informações na Web no TechNet em Uninstall-ADServiceAccount.
Encerrando um farm de servidores existente
Ao encerrar um farm de servidores existente, remova os seguintes objetos do AD:
Se a gMSA for o único membro, o grupo de segurança do qual a gMSA faz parte é usado para controle de acesso
Se o grupo de segurança só for usado para hosts membros, o grupo de segurança do qual os hosts membros fazem parte
gMSA.
Para excluir um grupo de segurança, use Usuários e Computadores do Active Directory, dsrm ou Remove-ADGroup. Para excluir uma gMSA, use Usuários e Computadores do Active Directory ou Remove-ADServiceAccount.
Etapa 1: excluindo objetos do Active Directory
A associação em Admins. do Domínio, Opers. de Contas ou a capacidade de excluir msDS-GroupManagedServiceAccount e objetos de grupo de segurança é o mínimo necessário para concluir esses procedimentos. Para obter informações detalhadas sobre como usar as contas e as associações a grupos apropriadas, consulte Grupos padrão Local e Domínio.
Para remover uma gMSA usando o cmdlet Remove-ADServiceAccount
No controlador de domínio do Windows Server 2012, execute o Windows PowerShell na Barra de Tarefas.
No prompt de comando do módulo Active Directory do Windows PowerShell, digite os seguintes comandos e pressione ENTER:
Remove-ADServiceAccount < ADServiceAccount>
Exemplo
Por exemplo, para excluir uma gMSA denominada ITFarm1, digite o seguinte comando e pressione ENTER:
Remove-ADServiceAccount ITFarm1
Para obter mais informações sobre o cmdlet Remove-ADServiceAccount, no prompt de comando do módulo Active Directory para Windows PowerShell, digite Get-Help Remove-ADServiceAccount e pressione ENTER ou consulte as informações na Web no TechNet em Remove-ADServiceAccount.
Etapa 2: removendo uma Conta de Serviço Gerenciado de grupo do sistema
Use os procedimentos descritos em Etapa 2: removendo uma Conta de Serviço Gerenciado de grupo do sistema neste tópico.