Настройка делегированных управляемых учетных записей служб

Делегированная управляемая учетная запись службы (dMSA) — это учетная запись Active Directory (AD), которая обеспечивает безопасное и эффективное управление учетными данными. В отличие от традиционных учетных записей служб, dMSAs не требуют ручного управления паролями, так как AD автоматически заботится об этом. С помощью DMSAs определенные разрешения можно делегировать для доступа к ресурсам в домене, что снижает риски безопасности и обеспечивает более высокую видимость и журналы действий учетной записи службы.

Настройка dMSA в настоящее время доступна только на устройствах под управлением Windows Server 2025 (предварительная версия). DMSA — это более безопасный и управляемый подход к управлению учетными записями служб по сравнению с традиционными учетными записями служб. Перенос критически важных служб в dMSA организации могут гарантировать, что эти службы управляются безопасным и соответствующим образом. DMSA обеспечивает более высокий уровень безопасности, предлагая уникальные и часто поворачиваемые пароли, что снижает вероятность несанкционированного доступа и повышает общую безопасность.

Необходимые компоненты

• Роль служб домен Active Directory должна быть установлена на устройстве или на любом устройстве при использовании средств удаленного управления. Дополнительные сведения см. в статье "Установка или удаление ролей", "Службы ролей" или "Компоненты".
• После установки роли устройство должно быть повышено до контроллера домена (DC). В диспетчер сервера значок флага отображает новое уведомление, выберите "Повысить уровень этого сервера до контроллера домена", а затем выполните необходимые действия.
• Корневой ключ KDS должен быть создан на контроллере домена перед созданием или переносом DMSA. Запустите Get-KdsRootKey PowerShell, чтобы проверить, доступен ли ключ. Если ключ недоступен, его можно добавить, выполнив команду Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)).

$params = @{
 Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
 Name = "DelegatedMSAEnabled"
 Value = 1
 Type = "DWORD"
}
Set-ItemProperty @params

Создание автономной dMSA

Следующие инструкции позволяют пользователям создавать новую dMSA без миграции из традиционной учетной записи службы.

1. Откройте сеанс PowerShell с правами администратора и выполните следующую команду:

   $params = @{
    Name = "ServiceAccountName"
    DNSHostName = "DNSHostName"
    CreateDelegatedServiceAccount = $true
    KerberosEncryptionType = "AES256"
   }
   New-ADServiceAccount @params
   

2. Предоставьте устройству разрешение на получение пароля для учетной записи службы в AD:

   $params = @{
    Identity = "DMSA Name"
    PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
   }
   Set-ADServiceAccount @params
   

3. Значение свойства msDS-DelegatedMSAState для dMSA должно иметь значение 3. Чтобы просмотреть текущее значение свойства, выполните следующую команду:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = "msDS-DelegatedMSAState"
   }
   Get-ADServiceAccount @params
   

   Чтобы задать это значение 3, выполните следующую команду:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = @{
     "msDS-DelegatedMSAState" = 3
    }
   }
   Set-ADServiceAccount @params
   

Миграция на dMSA

Чтобы перенести учетную запись службы в dMSA, выполните следующие действия.

1. Создайте dMSA, описанную в разделе "Создание автономной dMSA".

2. Инициируйте миграцию учетной записи в dMSA:

   $params = @{
    Identity = "<DMSAName>"
    SupersededAccount = "<DN of service account>"
   }
   Start-ADServiceAccountMigration @params
   

3. Если учетная запись службы, переносимая на dMSA, имеет доступ к нескольким серверам, сначала необходимо применить политику реестра, чтобы убедиться, что она используется по умолчанию для контроллера домена. После входа с помощью DMSA выполните следующую команду:

   $params = @{
    Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
    Name = "DelegatedMSAEnabled"
    Value = "1"
    PropertyType = "DWORD"
    Force = $true
   }
   New-ItemProperty @params
   

4. После применения изменений в реестре и связывания учетной записи перезапустите запущенные службы для учетной записи, выполнив следующую команду:

   Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
   

Завершение миграции учетной записи

Чтобы завершить миграцию учетных записей, традиционные учетные записи служб должны быть отключены, чтобы все службы использовали dMSA.

Чтобы отключить традиционную учетную запись службы, выполните следующую команду:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Если выполняется миграция неправильной учетной записи, выполните следующие действия, чтобы отменить все действия во время миграции:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Чтобы вернуть учетную запись службы обратно в неактивное или несвязанное состояние, выполните следующую команду:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

Просмотр журналов событий dMSA

События можно просматривать с помощью Просмотр событий (eventvwr.exe), выполнив следующие действия:

1. Щелкните правой кнопкой мыши пуск и выберите Просмотр событий.
2. В левой области разверните приложения и службы и перейдите к Microsoft\Windows\Security-Kerberos\Operational.
3. Ведение журнала для этого поставщика по умолчанию отключено, чтобы включить ведение журнала, щелкните правой кнопкой мыши операционную систему и выберите "Включить журнал".

В следующей таблице описаны эти захваченные события.

См. также

• New-ADServiceAccount
• Complete-ADServiceAccountMigration
• Reset-ADServiceAccountMigration
• Start-ADServiceAccountMigration
• Undo-ADServiceAccountMigration