Group Managed Service Accounts Overview

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema für IT-Experten wird das gruppen verwaltete Dienstkonto vorgestellt, indem praktische Anwendungen, Änderungen an der Implementierung von Microsoft sowie Hardware- und Softwareanforderungen beschrieben werden.

Featurebeschreibung

Ein eigenständiges verwaltetes Dienstkonto (Managed Service Account, sMSA) ist ein verwaltetes Domänenkonto, das die automatische Kennwortverwaltung, die vereinfachte Verwaltung des Dienstprinzipalnamens (Service Principal Name, SPN) und die Möglichkeit bietet, die Verwaltung an andere Administratoren zu delegieren. Diese Art von verwaltetem Dienstkonto (Managed Service Account, MSA) wurde in Windows Server 2008 R2 und Windows 7 eingeführt.

Das gruppen verwaltete Dienstkonto (Group Managed Service Account, gMSA) bietet die gleiche Funktionalität innerhalb der Domäne, erweitert diese Funktionalität aber auch auf mehrere Server. Beim Herstellen einer Verbindung mit einem Dienst, der in einer Serverfarm gehostet wird, z. B. einer Netzwerklastenausgleichslösung, erfordern die Authentifizierungsprotokolle, die die gegenseitige Authentifizierung unterstützen, dass alle Instanzen der Dienste denselben Prinzipal verwenden. Wenn ein gMSA als Dienstprinzipale verwendet wird, verwaltet das Windows Betriebssystem das Kennwort für das Konto, anstatt sich auf den Administrator zu verlassen, um das Kennwort zu verwalten.

Der Microsoft-Schlüsselverteilungsdienst (kdssvc.dllbietet den Mechanismus zum ) sicheren Abrufen des neuesten Schlüssels oder eines bestimmten Schlüssels mit einem Schlüsselbezeichner für ein Active Directory-Konto. Vom Schlüsselverteilungsdienst werden geheime Informationen zur Erstellung von Schlüsseln für das Konto bereitgestellt. Diese Schlüssel werden regelmäßig geändert. Für ein gMSA berechnet der Domänencontroller zusätzlich zu anderen Attributen des gMSA das Kennwort für den von den Schlüsselverteilungsdiensten bereitgestellten Schlüssel. Mitgliedshosts können die aktuellen und vorangehenden Kennwortwerte abrufen, indem sie sich an einen Domänencontroller wenden.

Praktische Anwendung

gMSAs bieten eine einzelne Identitätslösung für Dienste, die auf einer Serverfarm oder auf Systemen hinter Network Load Balancer ausgeführt werden. Durch die Bereitstellung einer gMSA-Lösung können Dienste für den neuen gMSA-Prinzipal konfiguriert werden, und die Kennwortverwaltung wird von Windows verarbeitet.

Bei Verwendung eines gMSA müssen Dienste oder Dienstadministratoren die Kennwortsynchronisierung zwischen Dienstinstanzen nicht verwalten. Das gMSA unterstützt Hosts, die über einen längeren Zeitraum offline gehalten werden, sowie die Verwaltung von Mitgliedshosts für alle Instanzen eines Diensts. Sie können also eine Serverfarm bereitstellen, die eine einzelne Identität unterstützt, gegenüber der sich vorhandene Clientcomputer authentifizieren können, ohne zu wissen, mit welcher Instanz des Diensts eine Verbindung hergestellt wird.

Failovercluster unterstützen keine gruppenverwalteten Dienstkonten. Dienste, die oben im Clusterdienst ausgeführt werden, können jedoch ein gMSA oder sMSA verwenden, wenn sie ein Windows-Dienst, ein App-Pool, eine geplante Aufgabe oder gMSA oder sMSA systemeigen unterstützen.

Softwareanforderungen

Eine - 64-Bit-Architektur ist erforderlich, um die Windows PowerShell Befehle auszuführen, die zum Verwalten von gMSAs verwendet werden.

Ein verwaltetes Dienstkonto ist abhängig von Verschlüsselungstypen mit Kerberos-Unterstützung. Wenn sich ein Clientcomputer gegenüber einem Server per Kerberos authentifiziert, wird vom Domänencontroller ein Kerberos-Dienstticket erstellt, das mit einer Verschlüsselung geschützt ist, die sowohl vom Domänencontroller als auch vom Server unterstützt wird. Der Domänencontroller verwendet das - msDS SupportedEncryptionTypes-Attribut des Kontos, um zu bestimmen, welche Verschlüsselung der Server unterstützt. Wenn kein Attribut vorhanden ist, geht er davon aus, dass der Clientcomputer keine strengeren Verschlüsselungstypen unterstützt. Wenn der Host so konfiguriert ist, dass RC4 nicht unterstützt wird, tritt bei der Authentifizierung immer ein Fehler auf. Aus diesem Grund muss AES für verwaltete Dienstkonten immer explizit konfiguriert sein.

Hinweis

Ab Windows Server 2008 R2 ist DES standardmäßig deaktiviert. Weitere Informationen zu den unterstützten Verschlüsselungsarten finden Sie unter Changes in Kerberos Authentication.

gMSAs gelten nicht für Windows Betriebssysteme vor Windows Server 2012.

Informationen zum Server-Manager

Es sind keine Konfigurationsschritte erforderlich, um MSA und gMSA mit Server-Manager oder dem Cmdlet Install WindowsFeature zu - implementieren.

Siehe auch

In der folgenden Tabelle sind Links zu weiterführenden Ressourcen im Zusammenhang mit verwalteten Dienstkonten und gruppenverwalteten Dienstkonten aufgeführt.

Inhaltstyp Referenzen
Produktbewertung What's New for Managed Service Accounts

Dokumentation zu verwalteten Dienstkonten für Windows 7 und Windows Server 2008 R2

-Schritt-für-Schritt-Anleitung für Dienstkonten -

Planung Noch nicht verfügbar
Bereitstellung Noch nicht verfügbar
Vorgänge Verwaltete Dienstkonten in Active Directory
Problembehandlung Noch nicht verfügbar
Auswertung Erste Schritte mit gruppen verwalteten Dienstkonten
Tools und Einstellungen Verwaltete Dienstkonten in Active Directory-Domänendiensten
Communityressourcen Verwaltete Dienstkonten: Grundlegendes, Implementierung, bewährte Methoden und Problembehandlung
Verwandte Technologien Übersicht über die Active Directory Domain Services