Group Managed Service Accounts Overview
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Cette rubrique pour le professionnel de l’informatique présente le compte de service managé de groupe en décrivant des applications pratiques, des modifications apportées à l’implémentation de Microsoft et des exigences matérielles et logicielles.
Description de la fonctionnalité
Un compte de service managé autonome (sMSA) est un compte de domaine managé qui fournit une gestion automatique des mots de passe, une gestion simplifiée du nom de principal de service (SPN) et la possibilité de déléguer la gestion à d’autres administrateurs. Ce type de compte de service administré est apparu pour la première fois dans Windows Server 2008 R2 et Windows 7.
Le compte de service managé de groupe (gMSA) fournit les mêmes fonctionnalités au sein du domaine, mais étend également cette fonctionnalité sur plusieurs serveurs. Lors de la connexion à un service hébergé sur une batterie de serveurs, telle que la solution Network Load Balance, les protocoles d’authentification prenant en charge l’authentification mutuelle nécessitent que toutes les instances des services utilisent le même principal. Lorsqu’un gMSA est utilisé en tant que principaux de service, le système d’exploitation Windows gère le mot de passe du compte au lieu de compter sur l’administrateur pour gérer le mot de passe.
Le service de distribution de clés Microsoft (kdssvc.dll) fournit le mécanisme nécessaire pour obtenir en toute sécurité la dernière clé ou une clé spécifique avec un identificateur de clé d’un compte Active Directory. Le service de distribution de clés partage un secret qui sert à créer des clés pour le compte. Ces clés sont modifiées périodiquement. Pour un gMSA, le contrôleur de domaine calcule le mot de passe sur la clé fournie par les services de distribution de clés, en plus d’autres attributs du gMSA. Les hôtes membres peuvent obtenir les valeurs de mot de passe actuelles et précédentes en contactant un contrôleur de domaine.
Cas pratiques
Les gMSA fournissent une solution d’identité unique pour les services s’exécutant sur une batterie de serveurs ou sur les systèmes derrière la Load Balancer réseau. En fournissant une solution gMSA, les services peuvent être configurés pour le nouveau principal gMSA et la gestion des mots de passe est gérée par Windows.
L’utilisation d’un gMSA, des services ou des administrateurs de service n’a pas besoin de gérer la synchronisation de mot de passe entre les instances de service. GMSA prend en charge les hôtes qui sont conservés hors connexion pendant une période prolongée et la gestion des hôtes membres pour toutes les instances d’un service. Cela signifie que vous pouvez déployer une batterie de serveurs qui prend en charge une identité unique auprès de laquelle les ordinateurs clients existants peuvent s’authentifier sans savoir à quelle instance de service ils se connectent.
Les clusters de basculement ne prennent pas en charge les comptes de service administrés de groupe (gMSA, group Managed Service Account). Toutefois, les services qui s'exécutent sur le service de cluster peuvent utiliser un compte gMSA ou un compte de service administré autonome (sMSA, standalone Managed Service Account) s'il s'agit d'un service Windows, d'un pool d'applications, d'une tâche planifiée ou s'ils prennent nativement en charge les comptes gMSA ou sMSA.
Configuration logicielle requise
Une architecture 64 bits est nécessaire pour exécuter les commandes Windows PowerShell utilisées pour administrer des gMSA.
Un compte de service administré dépend de types de chiffrement pris en charge par Kerberos. Lorsqu’un ordinateur client s’authentifie auprès d’un serveur à l’aide du protocole Kerberos, le contrôleur de domaine crée un ticket de service Kerberos protégé avec le chiffrement pris en charge par le serveur et par le contrôleur de domaine. Le contrôleur de domaine utilise l’attribut msDS-SupportedEncryptionTypes du compte pour déterminer le chiffrement pris en charge par le serveur et, s’il n’y a pas d’attribut, il suppose que l’ordinateur client ne prend pas en charge les types de chiffrement plus forts. Si l’hôte est configuré pour ne pas prendre en charge RC4, l’authentification échoue toujours. Pour cette raison, AES doit toujours être configuré de manière explicite pour les comptes de service administrés.
Notes
À compter de Windows Server 2008 R2, DES est désactivé par défaut. Pour plus d’informations sur les types de chiffrement pris en charge, voir Modifications apportées à l’authentification Kerberos.
Les gMSA ne s’appliquent pas aux systèmes d’exploitation Windows avant Windows Server 2012.
Informations sur le Gestionnaire de serveur
Il n’existe aucune procédure de configuration nécessaire pour implémenter MSA et gMSA à l’aide de Gestionnaire de serveur ou de l’applet de commande Install-WindowsFeature.
Voir aussi
Le tableau ci-dessous fournit des liens vers des ressources supplémentaires relatives aux comptes de service administrés et aux comptes de service administrés de groupe.
| Type de contenu | Références |
|---|---|
| Évaluation du produit | What's New for Managed Service Accounts Documentation sur les comptes de service administrés pour Windows 7 et Windows Server 2008 R2 Guide pas à pas des comptes de service (éventuellement en anglais) |
| Planification | Pas encore disponible |
| Déploiement | Pas encore disponible |
| Opérations | Comptes de service administrés dans Active Directory |
| Dépannage | Pas encore disponible |
| Evaluation | Prise en main avec des comptes de service managé de groupe |
| Outils et paramètres | Comptes de service administrés dans les services de domaine Active Directory |
| Ressources de la communauté | Comptes de service administrés : présentation, implémentation, recommandations et dépannage |
| Technologies connexes | Vue d’ensemble d’Active Directory Domain Services |