Создание управляемой группы учетной записи службы (gMSA) в доменных службах Microsoft Entra

Статья
10/20/2023

Приложениям и службам часто требуются идентификаторы для самостоятельной проверки подлинности на других ресурсах. Например, веб-службе может потребоваться пройти проверку подлинности в базе данных. Если запущено несколько экземпляров приложения или службы, например ферма веб-серверов, создание и настройка удостоверений для этих ресурсов вручную занимают много времени.

Вместо этого можно создать управляемую группу учетную запись службы (gMSA) в управляемом домене доменных служб Microsoft Entra. ОС Windows автоматически управляет учетными данными gMSA, что упрощает работу с большими группами ресурсов.

Настоящая статья посвящена тому, как создать gMSA с помощью Azure PowerShell.

Подготовка к работе

Для работы с этой статьей требуются следующие ресурсы и разрешения:

Активная подписка Azure.
- Если у вас еще нет подписки Azure, создайте учетную запись.
Клиент Microsoft Entra, связанный с подпиской, либо синхронизирован с локальным каталогом или облачным каталогом.
- При необходимости создайте клиент Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
Управляемый домен доменных служб Microsoft Entra включен и настроен в клиенте Microsoft Entra.
- При необходимости выполните инструкции по созданию и настройке управляемого домена доменных служб Microsoft Entra.
Виртуальная машина управления Windows Server, присоединенная к управляемому домену доменных служб.
- Если потребуется, выполните инструкции из руководства по созданию виртуальной машины управления.

Обзор управляемых учетных записей служб

Изолированная управляемая учетная запись службы является доменной учетной записью, для которой выполняется автоматическое управление паролями. Этот подход упрощает управление именем субъекта-службы и позволяет делегировать управление другим администраторам. Вам не нужно вручную создавать и распространять данные учетных записей.

Групповая управляемая учетная запись службы (gMSA) аналогичным образом упрощает управление несколькими серверами в домене. gMSA позволяет всем экземплярам службы, размещенным в кластере серверов, использовать одну и ту же субъект-службу, чтобы работал протокол взаимной проверки подлинности. Если в качестве субъекта-службы используется gMSA, паролем учетной записи управляет не администратор, а сама операционная система Windows.

Дополнительные сведения см. в разделе Обзор групповых управляемых учетных записей служб (gMSA).

Использование учетных записей служб в доменных службах

Так как управляемые домены заблокированы и управляются Майкрософт, при использовании учетных записей служб необходимо учитывать следующее.

Создавайте учетные записи служб в настраиваемых подразделениях управляемого домена.
- Нельзя создать учетную запись службы для встроенных подразделений AADDC Users или AADDC Computers.
- Вместо этого создайте пользовательское подразделение в своем управляемом домене, а затем создайте в нем необходимые учетные записи службы.
Корневой ключ для служб распространения ключей (KDS) создается заранее.
- Корневой ключ KDS используется для создания и получения паролей для gMSA. В доменных службах для вас создается корневой каталог KDS.
- У вас нет прав на создание нового или просмотр текущего корневого ключа KDS.

Создание групповой управляемой учетной записи службы

Сначала создайте пользовательское подразделение с помощью командлета New-ADOrganizationalUnit. Дополнительные сведения о создании пользовательских подразделений и управлении ими см. в разделе "Пользовательские подразделения" в доменных службах.

Совет

Выполните необходимые для создания gMSA шаги, используя виртуальную машину управления. Эта виртуальная машина управления уже должна иметь необходимые командлеты AD PowerShell и должна быть подключена к управляемому домену.

В следующем примере показано, как создать пользовательское подразделение с именем myNewOU в управляемом домене с именем aaddscontoso.com. Используйте собственное подразделение и название управляемого домена:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Затем создайте групповую управляемую учетную запись службы при помощи командлета New-ADServiceAccount. В примере настроены следующие параметры:

Для параметра-Name задано значение WebFarmSvc.
Параметр -Path определяет пользовательское подразделение для gMSA, созданной на предыдущем шаге.
Записи DNS и имена субъектов-служб заданы для WebFarmSvc.aaddscontoso.com.
Субъекты в AADDSCONTOSO-SERVER$ могут получать пароль и использовать идентификатор.

Укажите собственные названия и доменные имена.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Теперь приложения и службы можно настроить для использования gMSA по мере надобности.

Следующие шаги

Дополнительные сведения о gMSA см. в статье Начало работы с групповыми управляемыми учетными записями служб.

Поделиться через