Esecuzione di valutazioni con account di servizio gestiti

Gli account di servizio gestiti (MSA, Managed Service Account) sono un tipo di entità di sicurezza disponibile nelle versioni attualmente supportate di Servizi di dominio Active Directory. Presentano sia le caratteristiche delle entità di sicurezza dei computer, sia quelle delle entità di sicurezza degli utenti. Possono essere aggiunti ai gruppi di sicurezza, possono essere autenticati e possono accedere alle risorse di una rete. Sono concepiti per essere utilizzati da servizi, pool di applicazioni di IIS e attività pianificate.

Vantaggi degli account di servizio gestiti

Gli account di servizio gestiti consentono di risolvere le problematiche intrinseche dell'utilizzo degli account utente per l'esecuzione di servizi, attività pianificate e pool di applicazioni di IIS:

• Gestione automatica delle password
• Gestione semplificata dei nomi delle entità di servizio (SPN, Service Principal Name)
• Non possono essere utilizzati per accedere a Windows in modo interattivo
• Permettono di controllare agevolmente i computer autorizzati ad autenticare account di servizio gestiti e a eseguire codice nel relativo contesto

Valutazioni On Demand che possono utilizzare account del servizio gestito

Gli account del servizio gestito possono essere utilizzati per l'esecuzione delle seguenti Valutazioni On Demand

Provisioning di account di servizio gestiti

Prima di configurare un'attività pianificata di valutazione per l'esecuzione come account di servizio gestito, è necessario fornire o creare l'account di servizio gestito in Servizi di dominio Active Directory. Tutte le valutazioni supportate specificano le autorizzazioni e i requisiti di accesso dell'account per la corretta esecuzione dell'attività pianificata. Consulta la documentazione introduttiva e i documenti sui requisiti relativi alla valutazione supportata per informazioni dettagliate sui requisiti di accesso dell'account dell'attività pianificata.

Sono disponibili due tipi di account di servizio gestiti. Entrambi possono essere configurati per le attività pianificate delle valutazioni supportate:

• Gli account di servizio gestiti autonomi (o account virtuali) possono essere autorizzati per l'autenticazione solo in un singolo computer appartenente a un dominio.
• Gli account di servizio gestiti di gruppo possono essere autorizzati per l'autenticazione in più computer del dominio.

Per fornire e configurare entrambi i tipi di account di servizio gestiti è necessario il modulo Active Directory di Windows PowerShell. Nel controller di dominio il modulo PowerShell viene solitamente installato durante l'installazione del ruolo di controller di dominio.

Il modulo, un componente degli Strumenti di Amministrazione Remota del Server, può essere aggiunto alle SKU di Windows Server tramite il Server Manager. Il modulo può anche essere aggiunto a Windows 10.

Scenario 1 - Account di servizio gestito autonomo (sMSA, standalone Managed Service Account)

Lo schema della foresta di Servizi di dominio Active Directory deve essere come minimo al livello di Windows Server 2008 R2, per fornire correttamente gli account di servizio gestiti autonomi. I computer che eseguono attività pianificate come sMSA devono essere basati su Windows Server 2012 o versione successiva.

Per fornire un account sMSA per l'esecuzione di valutazioni on demand sono necessari tre passaggi:

1. Creare l'account sMSA tramite il cmdlet di PowerShell New-ADServiceAccount.
2. Autorizzare il sistema di raccolta dei dati a ottenere la password per l'account sMSA, tramite il cmdlet di PowerShell Add-ADComputerServiceAccount.
3. Concedere all'account sMSA l'accesso necessario per l'ambiente da valutare, in base alla documentazione sui requisiti relativa alla valutazione da configurare.

Creare l'account di servizio gestito autonomo

Per creare l'account sMSA, eseguire il comando seguente da una sessione di PowerShell su un controller di dominio o membro di dominio con il modulo Active Directory per Windows PowerShell installato utilizzando un account dotato delle autorizzazioni necessarie per la creazione di account in Active Directory (gli operatori account e gli amministratori di dominio dispongono delle autorizzazioni necessarie per impostazione predefinita).

New-ADServiceAccount -Name <sMSAaccountname>  -RestrictToSingleComputer

Ad esempio: PS C:> New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer

Autorizzare il sistema di raccolta dei dati a utilizzare l'account sMSA

Per autorizzare il sistema di raccolta dei dati a ottenere la password dell'account sMSA, eseguire il comando seguente da una sessione di PowerShell su un controller di dominio o membro di dominio con il modulo Active Directory per Windows PowerShell installato utilizzando un account dotato delle autorizzazioni necessarie per la creazione di account in Active Directory (gli operatori account e gli amministratori di dominio dispongono delle autorizzazioni necessarie per impostazione predefinita).

Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”

Ad esempio: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"

Installare sMSA sulla macchina di raccolta dati

La memorizzazione anticipata nella cache di sMSA sulla macchina di raccolta dati costituisce una fase importante di convalida per garantire che il provisioning dell'account abbaia esito positivo e il computer di raccolta dati riesca a recuperare la password sMSA e utilizzare l'account. Dalla macchina di raccolta dati con il modulo PowerShell di Active Directory installato, esegui questo comando:

Install-ADServiceAccount -Identity “sMSA samaccountname”

Ad esempio: Install-ADServiceAccount -Identity "sMSA-SVC$"

Per altri errori, esaminare il canale Microsoft-Windows-Security-Netlogon/Operational event log per gli eventi della categoria MSA.

Scenario 2 - Account di servizio gestito di gruppo (gMSA, group Managed Service Account)

Lo schema della foresta di Servizi di dominio Active Directory deve essere come minimo al livello di Windows Server 2012, per fornire correttamente gli account di servizio gestiti di gruppo. I computer che eseguono attività pianificate come gMSA devono essere basati su Windows Server 2012 o versione successiva.

Per fornire un account gMSA per l'esecuzione di valutazioni on demand sono necessari tre passaggi:

1. Creare la chiave radice del servizio distribuzione chiavi (KDS, Key Distribution Services) all'interno di Active Directory utilizzando Add-KDSRootKey
2. Creare l'account gMSA e autorizzare il sistema di raccolta dei dati a ottenere la password per l'account gMSA tramite il cmdlet di PowerShell New-ADServiceAccount.
3. Concedere all'account gMSA l'accesso necessario per l'ambiente da valutare, in base alla documentazione sui requisiti relativa alla valutazione da configurare.

Fornire la chiave radice KDS

È innanzitutto necessario creare la chiave radice KDS nella foresta di Active Directory, se non è ancora stata creata.  Per determinare se esiste già una chiave radice KDS, eseguire il comando seguente da una sessione di PowerShell.

Get-KdsRootKey

Per creare la chiave radice KDS, eseguire il comando seguente da una sessione di PowerShell su un controller di dominio o membro di dominio con il modulo Active Directory per Windows PowerShell installato utilizzando un account dotato delle autorizzazioni necessarie per la creazione di account in Active Directory (gli amministratori dell'organizzazione e gli amministratori di dominio nel dominio radice della foresta dispongono delle autorizzazioni necessarie per impostazione predefinita).

Add-KdsRootKey -EffectiveImmediately 

Add-KdsRootKey -EffectiveImmediately consente di creare account gMSA dopo 10 ore, per garantire la convergenza della replica in tutti i controller di dominio.

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) 

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) consente di creare account gMSA immediatamente.

Questo approccio comporta alcuni rischi di errore durante la creazione o l'utilizzo degli account gMSA, se la convergenza della replica di Active Directory a livello di foresta richiede alcune ore in condizioni normali.

Creare l'account di servizio gestito di gruppo

Per creare l'account gMSA, eseguire il comando seguente da una sessione di PowerShell su un controller di dominio o membro di dominio con il modulo Active Directory per Windows PowerShell installato utilizzando un account dotato delle autorizzazioni necessarie per la creazione di account in Active Directory (gli operatori account e gli amministratori di dominio dispongono delle autorizzazioni necessarie per impostazione predefinita).

New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”

Ad esempio: PS C:> New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"

Installare gMSA sulla macchina di raccolta dati

La memorizzazione anticipata nella cache di gMSA sulla macchina di raccolta dati costituisce una fase importante di convalida per garantire che il provisioning dell'account abbaia esito positivo e il computer di raccolta dati riesca a recuperare la password gMSA e utilizzare l'account. Dalla macchina di raccolta dati con il modulo PowerShell di Active Directory installato, esegui questo comando:

Install-ADServiceAccount -Identity “gMSA samaccountname”

Ad esempio: Install-ADServiceAccount -Identity "gMSA-SVC$"

Per altri errori, esaminare il canale Microsoft-Windows-Security-Netlogon/Operational event log per gli eventi della categoria MSA.