在 Microsoft Entra Domain Services 中建立群組受控服務帳戶 (gMSA)
應用程式和服務通常需要身分識別,才能向其他資源驗證自身。 例如,Web 服務可能需要向資料庫服務驗證。 如果應用程式或服務有多個執行個體,例如 Web 伺服器陣列,手動建立和設定這些資源的身分識別耗費時間。
相反地,您可以在 Microsoft Entra Domain Services 受控網域中建立群組受控服務帳戶 (gMSA)。 Windows OS 會自動管理 gMSA 的認證,其可簡化大型資源群組的管理。
本文說明如何使用 Azure PowerShell 在受控網域中建立 gMSA。
開始之前
若要完成本文章,您需要下列資源和權限:
- 有效的 Azure 訂閱。
- 如果您沒有 Azure 訂用帳戶,請先建立帳戶。
- 與您的訂用帳戶相關聯的 Microsoft Entra 租用戶,已與內部部署目錄或僅限雲端目錄同步。
- 已在您的 Microsoft Entra 租用戶中啟用並設定 Microsoft Entra Domain Services 受控網域。
- 如有需要,請完成教學課程,以建立並設定 Microsoft Entra Domain Services 受控網域。
- 已加入 Domain Services 受控網域的 Windows Server 管理 VM。
- 如有需要,請完成建立管理 VM 的教學課程。
受控服務帳戶概觀
獨立受控服務帳戶 (sMSA) 是其密碼會自動受管理的網域帳戶。 此方法可簡化服務主體名稱 (SPN) 管理,並為其他管理員啟用委派管理。 您不需要手動建立和輪替帳戶的認證。
群組受控服務帳戶 (gMSA) 提供相同的管理簡化,但用於網域中的多部伺服器。 gMSA 可讓裝載於伺服器陣列上服務的所有執行個體使用相同的服務主體,使得相互驗證通訊協定能夠運作。 使用 gMSA 作為服務主體時,Windows 作業系統會再次管理帳戶的密碼,而不需依賴管理員。
如需詳細資訊,請參閱群組受控服務帳戶 (gMSA) 概觀。
在 Domain Services 中使用服務帳戶
由於受控網域會由 Microsoft 鎖定和管理,使用服務帳戶時有一些考量:
- 在受控網域上的自訂組織單位 (OU) 中建立服務帳戶。
- 您無法在內建的 AADDC 使用者或 AADDC 電腦 OU 中建立服務帳戶。
- 改為在受控網域上建立自訂的 OU,然後在該自訂的 OU 中建立服務帳戶。
- 已預先建立金鑰發佈服務 (KDS) 根金鑰。
- KDS 根金鑰可用來產生和擷取 gMSA 的密碼。 在 Domain Services 中,會為您建立 KDS 根目錄。
- 您沒有建立另一個或檢視預設 KDS 根金鑰的權限。
建立群組 gMSA
首先,使用 New-ADOrganizationalUnit Cmdlet 建立自訂 OU。 如需建立和管理自訂 OU 的詳細資訊,請參閱 自訂 Domain Services 中的 OU。
提示
若要完成這些步驟以建立 gMSA,請使用您的管理 VM。 此管理 VM 應該已經有必要的 AD PowerShell Cmdlet 和與受控網域的連線。
下列範例會在名為 aaddscontoso.com 的受控網域中建立名為 myNewOU 的自訂 OU。 使用您自己的 OU 和受控網域名稱:
New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"
現在使用 New-ADServiceAccount Cmdlet 來建立 gMSA。 下列範例參數已定義:
- -Name 設定為 WebFarmSvc
- -Path 參數會指定上一個步驟中建立的 gMSA 的自訂 OU。
- 隨即會為 WebFarmSvc.aaddscontoso.com 設定 DNS 項目和服務主體名稱
- AADDSCONTOSO-SERVER$ 中的主體可以擷取密碼並使用身分識別。
指定您自己的名稱和網域名稱。
New-ADServiceAccount -Name WebFarmSvc `
-DNSHostName WebFarmSvc.aaddscontoso.com `
-Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
-KerberosEncryptionType AES128, AES256 `
-ManagedPasswordIntervalInDays 30 `
-ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
http/WebFarmSvc/aaddscontoso.com, `
http/WebFarmSvc/aaddscontoso `
-PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$
應用程式和服務現在可以設定為視需要使用 gMSA。
下一步
如需 gMSA 的詳細資訊,請參閱開始使用群組受控服務帳戶。