Group Managed Service Accounts Overview

In diesem Artikel für IT-Spezialist*innen werden gruppenverwaltete Dienstkonten (gMSAs) eingeführt. Hierzu werden praktische Anwendungsmöglichkeiten, Änderungen in der Implementierung von Microsoft sowie Hard- und Softwareanforderungen beschrieben.

Featurebeschreibung

Ein eigenständiges verwaltetes Dienstkonto (sMSA) ist ein verwaltetes Domänenkonto, das eine automatische Kennwortverwaltung, eine vereinfachte Verwaltung von Dienstprinzipalnamen (Service Principal Name, SPN) und die Möglichkeit bietet, die Verwaltung an andere Administrator*innen zu delegieren. Domänenadministratoren können die Dienstverwaltung an Dienstadministratoren delegieren, die den gesamten Lebenszyklus eines verwalteten oder gruppenverwalteten Dienstkontos verwalten können. Bestehende Clientcomputer können sich bei allen solchen Diensten authentifizieren, ohne zu wissen, bei welcher Dienstinstanz sie das tun. Dieser Typ von verwaltetem Dienstkonto (Managed Service Account, MSA) wurde in Windows Server 2008 R2 und unter Windows 7 eingeführt.

Ein gruppenverwaltetes Dienstkonto (gMSA) bietet die gleiche Funktionalität innerhalb der Domäne und weitet diese Funktionalität darüber hinaus auf mehrere Server aus. Das minimiert den administrativen Mehraufwand eines Dienstkontos, indem Windows gestattet wird, die Kennwortverwaltung für diese Konten zu übernehmen. Wenn Sie eine Verbindung mit einem Dienst herstellen, der in einer Serverfarm gehostet wird (beispielsweise eine Lösung mit Netzwerklastenausgleich), erfordern die Authentifizierungsprotokolle mit gegenseitiger Authentifizierung, dass alle Instanzen der Dienste den gleichen Prinzipal verwenden. Wenn Sie ein gMSA als Dienstprinzipal verwenden, wird das Kennwort für das Konto vom Windows-Betriebssystem verwaltet, anstatt die Kennwortverwaltung den Administrator*innen zu überlassen.

Mit dem Microsoft-Schlüsselverteilungsdienst (kdssvc.dll) können Sie auf sichere Weise den aktuellen Schlüssel oder einen bestimmten Schlüssel mit einer Schlüssel-ID für ein Active Directory-Konto erhalten. Vom Schlüsselverteilungsdienst werden geheime Informationen zur Erstellung von Schlüsseln für das Konto bereitgestellt. Diese Schlüssel ändern sich in regelmäßigen Abständen. Bei einem gMSA berechnet der Domänencontroller das Kennwort für den Schlüssel, der vom Schlüsselverteilungsdienst angegebenen wird, zusammen mit anderen Attributen des gMSA. Aktuelle und ältere Kennwortwerte können von Mitgliedshosts durch Kontaktieren eines Domänencontrollers abgerufen werden.

Praktische Anwendung

gMSAs bieten eine Einzelidentitätslösung für Dienste, die in einer Serverfarm oder auf Systemen hinter einem Netzwerklastenausgleich ausgeführt werden. Durch die Bereitstellung einer gMSA-Lösung können Sie Dienste für den neuen gMSA-Prinzipal konfigurieren, während Windows die Kennwortverwaltung übernimmt.

Wenn Dienste oder Dienstadministrator*innen ein gMSA verwenden, müssen sie keine Kennwortsynchronisierung zwischen Dienstinstanzen verwalten. Das gMSA unterstützt Hosts, die über einen längeren Zeitraum offline sind, und verwaltet Mitgliedshosts für alle Instanzen eines Diensts. Sie können eine Serverfarm bereitstellen, die eine einzelne Identität unterstützt, mit der vorhandene Clientcomputer authentifiziert werden können, ohne wissen zu müssen, mit welcher Dienstinstanz sie eine Verbindung herstellen.

Obwohl Failovercluster keine Unterstützung für gMSAs bieten, können die im Clusterdienst ausgeführten Dienste ein gMSA oder sMSA verwenden, wenn es sich um einen Windows-Dienst, einen App-Pool oder eine geplante Aufgabe handelt, oder sie gMSA oder sMSA nativ unterstützen.

Softwareanforderungen

Um die Windows PowerShell-Befehle auszuführen, die Sie zum Verwalten von gMSAs benötigen, benötigen Sie eine 64-Bit-Architektur.

Ein verwaltetes Dienstkonto ist abhängig von Verschlüsselungstypen mit Kerberos-Unterstützung. Wenn sich ein Clientcomputer gegenüber einem Server per Kerberos authentifiziert, wird vom Domänencontroller ein Kerberos-Dienstticket erstellt, das mit einer Verschlüsselung geschützt ist, die sowohl vom Domänencontroller als auch vom Server unterstützt wird. Der DC verwendet das Attribut msDS-SupportedEncryptionTypes des Kontos, um zu bestimmen, welche Verschlüsselung der Server unterstützt. Wenn kein Attribut vorhanden ist, behandelt der DC den Clientcomputer so, als würde er keine sichereren Verschlüsselungsarten unterstützen. Wenn Sie den Host so konfiguriert haben, dass RC4 nicht unterstützt wird, schlägt die Authentifizierung immer fehl. Aus diesem Grund sollten Sie für MSAs immer AES konfigurieren.

Hinweis

Ab Windows Server 2008 R2 ist DES standardmäßig deaktiviert. Weitere Informationen zu den unterstützten Verschlüsselungsarten finden Sie unter Changes in Kerberos Authentication.

Hinweis

gMSAs können nicht für Windows-Betriebssysteme vor Windows Server 2012 verwendet werden. In Windows Server 2012 werden die Windows PowerShell-Cmdlets standardmäßig für die Verwaltung der gMSAs anstatt für die serververwalteten Dienstkonten verwendet.

Informationen zum Server-Manager

Sie müssen keine zusätzliche Konfiguration vornehmen, um MSA und gMSA mit dem Server-Manager oder dem Install-WindowsFeature-Cmdlet zu implementieren.

Nächste Schritte

Hier sind weitere Ressourcen, in denen Sie mehr über verwaltete Dienstkonten erfahren können: