Getting Started with Group Managed Service Accounts
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Ce guide donne des informations générales et des instructions pas à pas sur l'activation et l'utilisation de comptes de service administrés de groupe dans Windows Server 2012.
Dans ce document
Mise à jour des propriétés du compte de service administré de groupe
Désaffectation d'hôtes membres d'une batterie de serveurs existante
Notes
Cette rubrique inclut des exemples d'applets de commande Windows PowerShell que vous pouvez utiliser pour automatiser certaines des procédures décrites. Pour plus d’informations, consultez Utilisation des applets de commande.
Prérequis
Reportez-vous à la section Configuration requise pour les comptes de service administrés de groupe de cette rubrique.
Introduction
Lorsqu'un ordinateur client se connecte à un service qui est hébergé sur une batterie de serveurs à l'aide de l'équilibrage de la charge réseau ou d'une autre méthode dans laquelle tous les serveurs sont présentés au client comme étant un même service, les protocoles d'authentification prenant en charge l'authentification mutuelle comme Kerberos ne peuvent alors pas être utilisés sauf si toutes les instances des services utilisent le même principal. Cela signifie que tous les services doivent utiliser les mêmes mots de passe/clés pour prouver leur identité.
Notes
Les clusters de basculement ne prennent pas en charge les comptes de service administrés de groupe (gMSA, group Managed Service Account). Toutefois, les services qui s'exécutent sur le service de cluster peuvent utiliser un compte gMSA ou un compte de service administré autonome (sMSA, standalone Managed Service Account) s'il s'agit d'un service Windows, d'un pool d'applications, d'une tâche planifiée ou s'ils prennent nativement en charge les comptes gMSA ou sMSA.
Les principaux suivants sont disponibles pour les services, chacun avec certaines limitations.
Principaux | Services pris en charge | Gestion des mots de passe |
---|---|---|
Compte d'ordinateur du système Windows | Limité à un serveur joint à un domaine | Géré par l'ordinateur |
Compte d'ordinateur sans système Windows | Tout serveur joint à un domaine | None |
Compte virtuel | Limité à un serveur | Géré par l'ordinateur |
Compte de service administré autonome Windows 7 | Limité à un serveur joint à un domaine | Géré par l'ordinateur |
Compte d’utilisateur | Tout serveur joint à un domaine | None |
Compte de service administré de groupe | Tout serveur joint à un domaine Windows Server 2012 | Le contrôleur de domaine gère et l'hôte récupère |
Un compte d'ordinateur Windows, un compte de service administré autonome (sMSA) Windows 7 ou des comptes virtuels ne peuvent pas être partagés sur plusieurs systèmes. Dans le cas des comptes virtuels, l’identité est également locale sur l’ordinateur et n’est pas reconnue par le domaine. Si vous configurez un compte à partager par les services de la batterie de serveurs, vous devrez choisir un compte d'utilisateur ou un compte d'ordinateur en dehors d'un système Windows. Dans tous les cas, ces comptes n'ont pas la capacité de gérer les mots de passe depuis un seul point de contrôle. Cette situation est problématique, car chaque organisation doit alors créer une solution coûteuse pour mettre à jour les clés du service dans Active Directory, puis les distribuer à toutes les instances de ces services.
Avec les comptes de service administrés de groupe (gMSA) proposés dans Windows Server 2012, les services ou les administrateurs de services n'ont pas besoin de gérer la synchronisation de mot de passe entre les instances de services. Vous configurez la fonctionnalité gMSA dans Active Directory, puis configurez le service qui prend en charge les comptes de service administrés. L’utilisation de gMSA est limitée à n’importe quel ordinateur capable d’utiliser LDAP pour récupérer les informations d’identification de gMSA. Vous pouvez configurer un compte gMSA à l'aide des applets de commande *-ADServiceAccount qui font partie du module Active Directory. La configuration de l'identité du service sur l'hôte est prise en charge par :
Les mêmes API que les comptes sMSA, de sorte que les produits qui prennent en charge les comptes sMSA prendront en charge les comptes gMSA
Les services qui utilisent le Gestionnaire de contrôle des services pour configurer l'identité d'ouverture de session
Les services qui utilisent le Gestionnaire des services IIS pour les pools d'applications pour configurer l'identité
Les tâches qui utilisent le Planificateur de tâches
Conditions requises pour les comptes de service administrés de groupe
Le tableau suivant répertorie la configuration requise du système d'exploitation pour que l'authentification Kerberos puisse fonctionner avec les services utilisant des comptes gMSA. Les conditions requises pour Active Directory sont répertoriées à la suite de ce tableau.
Une architecture 64 bits est requise pour exécuter les commandes Windows PowerShell utilisées pour administrer les comptes de service administrés de groupe.
Système d'exploitation requis
Élément | Condition requise | Système d’exploitation |
---|---|---|
Hôte d'application cliente | Client Kerberos conforme aux RFC | Au minimum Windows XP |
Contrôleurs de domaine du domaine du compte d'utilisateur | KDC conforme aux RFC | Au minimum Windows Server 2003 |
Hôtes membres du service partagé | Windows Server 2012 | |
Contrôleurs de domaine du domaine de l'hôte membre | KDC conforme aux RFC | Au minimum Windows Server 2003 |
Contrôleurs de domaine du domaine du compte gMSA | Contrôleurs de domaine Windows Server 2012 disponibles pour que l'hôte puisse récupérer le mot de passe | Domaine avec Windows Server 2012 qui peut avoir des systèmes antérieurs à Windows Server 2012 |
Hôte de service principal | Serveur d'application Kerberos conforme aux RFC | Au minimum Windows Server 2003 |
Contrôleurs de domaine du domaine du compte de service principal | KDC conforme aux RFC | Au minimum Windows Server 2003 |
Windows PowerShell pour Active Directory | Windows PowerShell pour Active Directory installé localement sur un ordinateur prenant en charge une architecture 64 bits ou sur votre ordinateur d'administration à distance (utilisant par exemple les Outils d'administration de serveur distant) | Windows Server 2012 |
Conditions requises pour le service de domaine Active Directory
Le schéma Active Directory de la batterie du domaine gMSA doit être mis à jour vers Windows Server 2012 pour créer un compte gMSA.
Vous pouvez mettre à jour ce schéma en installant un contrôleur de domaine qui exécute Windows Server 2012 ou en exécutant la version appropriée d'adprep.exe à partir d'un ordinateur exécutant Windows Server 2012. La valeur de l'attribut object-version de l'objet CN=Schema,CN=Configuration,DC=Contoso,DC=Com doit être 52.
Nouveau compte gMSA configuré
Si vous gérez l'autorisation de l'hôte de service à utiliser gMSA par groupe, alors groupe de sécurité nouveau ou existant
Si vous gérez le contrôle d'accès au service par groupe, alors groupe de sécurité nouveau ou existant
Si la première clé racine principale pour Active Directory n'est pas déployée dans le domaine ou n'a pas été créée, alors créez-la. Le résultat de sa création peut être vérifié dans le journal des opérations du service KDS, ID d'événement 4004.
Pour obtenir des instructions sur la création de la clé, consultez Créer la clé racine KDS des services de clés Active Directory. Le service de distribution de clés Microsoft (kdssvc.dll) crée la clé racine pour Active Directory.
Cycle de vie
Le cycle de vie d'une batterie de serveurs utilisant la fonctionnalité gMSA comporte généralement les tâches suivantes :
Déploiement d'une nouvelle batterie de serveurs
Ajout d'hôtes membres à une batterie de serveurs existante
Désaffectation d'hôtes membres d'une batterie de serveurs existante
Désaffectation d'une batterie de serveurs existante
Suppression d'un hôte membre compromis d'une batterie de serveurs, le cas échéant.
Déploiement d'une nouvelle batterie de serveurs
Lors du déploiement d'une nouvelle batterie de serveurs, l'administrateur du service devra déterminer les éléments suivants :
Si le service prend en charge l'utilisation de comptes gMSA
Si le service nécessite des connexions entrantes et sortantes authentifiées
Les noms de comptes d'ordinateur des hôtes membres du service utilisant la fonctionnalité gMSA
Le nom NetBIOS du service
Le nom d'hôte DNS du service
Les noms de principal du service (SPN) pour le service
L'intervalle de modification de mot de passe (la valeur par défaut est 30 jours).
Étape 1 : Configuration des comptes de service administrés de groupe
Vous pouvez créer un compte gMSA uniquement si le schéma de la batterie a été mis à jour vers Windows Server 2012, si la clé racine principale pour Active Directory a été déployée et si le domaine dans lequel le compte gMSA sera créé contient au moins un contrôleur de domaine Windows Server 2012.
Vous devez au minimum appartenir au groupe Admins du domaine, ou avoir la capacité de créer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes.
Notes
Une valeur pour le paramètre -Name est toujours requise (que vous spécifiiez -Name ou non), avec -DNSHostName, -RestrictToSingleComputer et -RestrictToOutboundAuthentication étant des exigences secondaires pour les trois scénarios de déploiement.
Pour créer un compte gMSA à l'aide de la nouvelle applet de commande New-ADServiceAccount
Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.
À l'invite de commandes de Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée : (Le module Active Directory sera chargé automatiquement.)
New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]
Paramètre String Exemple Nom Nom du compte BatterieIT1 DNSHostName Nom d'hôte DNS du service BatterieIT1.contoso.com KerberosEncryptionType Tout type de chiffrement pris en charge par les serveurs hôtes None, RC4, AES128, AES256 ManagedPasswordIntervalInDays Intervalle de modification de mot de passe exprimé en jours (la valeur par défaut est 30 jours) 90 PrincipalsAllowedToRetrieveManagedPassword Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres HôtesBatterieIT SamAccountName Nom NetBIOS du service s'il est différent de Name BatterieIT1 ServicePrincipalNames Noms de principal du service (SPN) pour le service http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01 Important
L'intervalle de modification de mot de passe ne peut être défini qu'à la création. Si vous avez besoin de modifier l'intervalle, vous devez créer un nouveau compte gMSA et définir l'intervalle au moment de la création.
Exemple
Entrez la commande sur une seule ligne, même si elle tient ici sur plusieurs lignes du fait de contraintes de mise en forme.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de créer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.
Pour créer un compte gMSA pour l'authentification sortante en utilisant uniquement l'applet de commande New-ADServiceAccount
Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]
Paramètre String Exemple Nom Nom du compte BatterieIT1 ManagedPasswordIntervalInDays Intervalle de modification de mot de passe exprimé en jours (la valeur par défaut est 30 jours) 75 PrincipalsAllowedToRetrieveManagedPassword Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres HôtesBatterieIT Important
L'intervalle de modification de mot de passe ne peut être défini qu'à la création. Si vous avez besoin de modifier l'intervalle, vous devez créer un nouveau compte gMSA et définir l'intervalle au moment de la création.
Exemple
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
Étape 2 : Configuration du service d'application d'identité au service
Pour configurer les services dans Windows Server 2012, reportez-vous à la documentation des fonctionnalités suivantes :
Pool d'applications IIS
Pour plus d’informations, voir Spécifier une identité pour un pool d’applications (IIS 7).
services Windows
Pour plus d’informations, voir Services.
Tâches
Pour plus d’informations, voir la Vue d’ensemble du planificateur de tâches.
D'autres services peuvent prendre en charge la fonctionnalité gMSA. Reportez-vous à la documentation produit spécifique pour plus d'informations sur la configuration de ces services.
Ajout d'hôtes membres à une batterie de serveurs existante
Si vous utilisez des groupes de sécurité pour gérer les hôtes membres, ajoutez le compte d'ordinateur du nouvel hôte membre au groupe de sécurité (auquel appartiennent les hôtes membres du compte gMSA) en utilisant l'une des méthodes suivantes.
Vous devez au minimum appartenir au groupe Admins du domaine ou avoir la capacité d'ajouter des membres à l'objet de groupe de sécurité pour réaliser ces procédures.
Méthode 1 : Utilisateurs et ordinateurs Active Directory
Pour connaître les procédures d’utilisation de cette méthode, voir Ajouter un compte d’ordinateur à un groupe et Gérer des domaines différents dans le Centre d’administration Active Directory.
Méthode 2 : dsmod
Pour connaître les procédures d’utilisation de cette méthode, voir Ajouter un compte d’ordinateur à un groupe à l’aide de la ligne de commande.
Méthode 3 : Applet de commande Windows PowerShell Active Directory Add-ADPrincipalGroupMembership
Pour connaître les procédures d’utilisation de cette méthode, voir Add-ADPrincipalGroupMembership.
Si vous utilisez des comptes d'ordinateur, recherchez les comptes existants et ajoutez le nouveau compte d'ordinateur.
Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de gérer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d'informations sur l'utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.
Pour ajouter des hôtes membres à l'aide de l'applet de commande Set-ADServiceAccount
Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Paramètre | String | Exemple |
---|---|---|
Nom | Nom du compte | BatterieIT1 |
PrincipalsAllowedToRetrieveManagedPassword | Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres | Hôte1, Hôte2, Hôte3 |
Exemple
Par exemple, pour ajouter des hôtes membres, tapez les commandes suivantes et appuyez sur Entrée.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$
Mise à jour des propriétés du compte de service administré de groupe
Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité d'écrire dans des objets msDS-GroupManagedServiceAccount pour réaliser ces procédures.
Ouvrez le module Active Directory pour Windows PowerShell et définissez toute propriété à l'aide de l'applet de commande Set-ADServiceAccount.
Pour plus d’informations sur la définition de ces propriétés, voir Set-ADServiceAccount dans la Bibliothèque TechNet ou tapez Get-Help Set-ADServiceAccount à l’invite de commandes du module Active Directory pour Windows PowerShell et appuyez sur ENTRÉE.
Désaffectation d'hôtes membres d'une batterie de serveurs existante
Vous devez au minimum appartenir au groupe Admins du domaine ou avoir la capacité de supprimer des membres de l'objet de groupe de sécurité pour réaliser ces procédures.
Étape 1 : Supprimer l'hôte membre du compte gMSA
Si vous utilisez des groupes de sécurité pour gérer les hôtes membres, supprimez le compte d'ordinateur de l'hôte membre désaffecté du groupe de sécurité auquel les hôtes membres du compte gMSA appartiennent en utilisant l'une des méthodes suivantes.
Méthode 1 : Utilisateurs et ordinateurs Active Directory
Pour connaître les procédures d’utilisation de cette méthode, voir Supprimer un compte d’ordinateur à l’aide de l’interface Windows et Gérer des domaines différents dans le Centre d’administration Active Directory.
Méthode 2 : drsm
Pour connaître les procédures d’utilisation de cette méthode, voir Supprimer un compte d’ordinateur à l’aide de la ligne de commande.
Méthode 3 : Applet de commande Active Directory pour Windows PowerShell Remove-ADPrincipalGroupMembership
Pour plus d’informations, consultez Remove-ADPrincipalGroupMembership dans la Bibliothèque TechNet ou tapez Get-Help Remove-ADPrincipalGroupMembership à l’invite de commandes du module Active Directory pour Windows PowerShell et appuyez sur ENTRÉE.
Si la liste des comptes d'ordinateur est affichée, récupérez les comptes existants, puis ajoutez tous les comptes sauf le compte d'ordinateur supprimé.
Vous devez au minimum appartenir au groupe Admins du domaine ou Opérateurs de compte, ou avoir la capacité de gérer des objets msDS-GroupManagedServiceAccount pour réaliser les procédures suivantes. Pour plus d'informations sur l'utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.
Pour supprimer des hôtes membres à l'aide de l'applet de commande Set-ADServiceAccount
Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Paramètre | String | Exemple |
---|---|---|
Nom | Nom du compte | BatterieIT1 |
PrincipalsAllowedToRetrieveManagedPassword | Comptes d'ordinateur des hôtes membres ou groupe de sécurité auquel appartiennent les hôtes membres | Host1, Host3 |
Exemple
Par exemple, pour supprimer des hôtes membres, tapez les commandes suivantes et appuyez sur Entrée.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$
Étape 2 : Suppression d'un compte de service administré de groupe du système
Supprimez les informations d'identification de compte gMSA mises en cache de l'hôte membre à l'aide de Uninstall-ADServiceAccount ou de l'API NetRemoveServiceAccount sur le système hôte.
Vous devez au minimum appartenir au groupe Administrateurs ou à un groupe équivalent pour réaliser ces procédures.
Pour supprimer un compte gMSA à l'aide de l'applet de commande Uninstall-ADServiceAccount
Dans le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
Uninstall-ADServiceAccount <ADServiceAccount>
Exemple
Par exemple, pour supprimer les informations d'identification mises en cache pour un gMSA nommé BatterieIT1, tapez la commande suivante et appuyez sur Entrée :
Uninstall-ADServiceAccount ITFarm1
Pour plus d’informations sur l’applet de commande Uninstall-ADServiceAccount, à l’invite de commandes du module Active Directory pour Windows PowerShell, tapez Get-Help Uninstall-ADServiceAccountet appuyez sur ENTRÉE ou consultez Uninstall-ADServiceAccountdans la Bibliothèque TechNet.