Group Managed Service Accounts OverviewGroup Managed Service Accounts Overview

S'applique à : Windows Server (Canal semi-annuel), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Cette rubrique destinée aux professionnels de l’informatique présente le compte de service administré de groupe en décrivant des applications pratiques, les modifications apportées à l’implémentation de Microsoft et la configuration matérielle et logicielle requise.This topic for the IT professional introduces the group Managed Service Account by describing practical applications, changes in Microsoft's implementation, and hardware and software requirements.

Description de la fonctionnalitéFeature description

Un compte de service administré autonome (sMSA) est un compte de domaine géré qui fournit une gestion automatique des mots de passe, une gestion simplifiée des noms de principal du service (SPN) et la possibilité de déléguer la gestion à d’autres administrateurs.A standalone Managed Service Account (sMSA) is a managed domain account that provides automatic password management, simplified service principal name (SPN) management and the ability to delegate the management to other administrators. Ce type de compte de service administré est apparu pour la première fois dans Windows Server 2008 R2 et Windows 7.This type of managed service account (MSA) was introduced in Windows Server 2008 R2 and Windows 7.

Le compte de service administré de groupe (gMSA) fournit les mêmes fonctionnalités dans le domaine, mais étend également cette fonctionnalité sur plusieurs serveurs.The group Managed Service Account (gMSA) provides the same functionality within the domain but also extends that functionality over multiple servers. Lorsque vous vous connectez à un service hébergé sur une batterie de serveurs, telle que la solution d’équilibrage de la charge réseau, les protocoles d’authentification prenant en charge l’authentification mutuelle requièrent que toutes les instances des services utilisent le même principal.When connecting to a service hosted on a server farm, such as Network Load Balanced solution, the authentication protocols supporting mutual authentication require that all instances of the services use the same principal. Quand un gMSA est utilisé en tant que principal du service, le système d’exploitation Windows gère le mot de passe du compte au lieu de s’appuyer sur l’administrateur pour gérer le mot de passe.When a gMSA is used as service principals, the Windows operating system manages the password for the account instead of relying on the administrator to manage the password.

Le service de distribution de clés Microsoft (kdssvc.dll) fournit le mécanisme permettant d’obtenir en toute sécurité la dernière clé ou une clé spécifique avec un identificateur de clé pour un compte Active Directory.The Microsoft Key Distribution Service (kdssvc.dll) provides the mechanism to securely obtain the latest key or a specific key with a key identifier for an Active Directory account. Le service de distribution de clés partage un secret qui sert à créer des clés pour le compte.The Key Distribution Service shares a secret which is used to create keys for the account. Ces clés sont modifiées périodiquement.These keys are periodically changed. Pour un gMSA, le contrôleur de domaine calcule le mot de passe sur la clé fournie par les services de distribution de clés, en plus d’autres attributs du gMSA.For a gMSA the domain controller computes the password on the key provided by the Key Distribution Services, in addition to other attributes of the gMSA. Les hôtes membres peuvent obtenir les valeurs de mot de passe actuelles et précédentes en contactant un contrôleur de domaine.Member hosts can obtain the current and preceding password values by contacting a domain controller.

Cas pratiquesPractical applications

Service administrés fournissent une solution d’identité unique pour les services exécutés sur une batterie de serveurs, ou sur les systèmes se trouvant derrière le réseau Load Balancer.gMSAs provide a single identity solution for services running on a server farm, or on systems behind Network Load Balancer. En fournissant une solution gMSA, les services peuvent être configurés pour le nouveau principal gMSA et la gestion des mots de passe est gérée par Windows.By providing a gMSA solution, services can be configured for the new gMSA principal and the password management is handled by Windows.

L’utilisation d’un gMSA, les services ou les administrateurs de service n’ont pas besoin de gérer la synchronisation de mot de passe entre les instances de service.Using a gMSA, services or service administrators do not need to manage password synchronization between service instances. Le gMSA prend en charge les hôtes qui sont conservés hors connexion pendant une période prolongée et la gestion des hôtes membres pour toutes les instances d’un service.The gMSA supports hosts that are kept offline for an extended time period, and management of member hosts for all instances of a service. Cela signifie que vous pouvez déployer une batterie de serveurs qui prend en charge une identité unique auprès de laquelle les ordinateurs clients existants peuvent s’authentifier sans savoir à quelle instance de service ils se connectent.This means you can deploy a server farm that supports a single identity to which existing client computers can authenticate without knowing the instance of the service to which they are connecting.

Les clusters de basculement ne prennent pas en charge les comptes de service administrés de groupe (gMSA, group Managed Service Account).Failover clusters do not support gMSAs. Toutefois, les services qui s'exécutent sur le service de cluster peuvent utiliser un compte gMSA ou un compte de service administré autonome (sMSA, standalone Managed Service Account) s'il s'agit d'un service Windows, d'un pool d'applications, d'une tâche planifiée ou s'ils prennent nativement en charge les comptes gMSA ou sMSA.However, services that run on top of the Cluster service can use a gMSA or a sMSA if they are a Windows service, an App pool, a scheduled task, or natively support gMSA or sMSA.

Configuration logicielle requiseSoftware requirements

Une - architecture 64 bits est requise pour exécuter les commandes Windows PowerShell utilisées pour administrer service administrés.A 64-bit architecture is required to run the Windows PowerShell commands which are used to administer gMSAs.

Un compte de service administré dépend de types de chiffrement pris en charge par Kerberos. Lorsqu’un ordinateur client s’authentifie auprès d’un serveur à l’aide du protocole Kerberos, le contrôleur de domaine crée un ticket de service Kerberos protégé avec le chiffrement pris en charge par le serveur et par le contrôleur de domaine.A managed service account is dependent upon Kerberos supported encryption types.When a client computer authenticates to a server using Kerberos the DC creates a Kerberos service ticket protected with encryption both the DC and server supports. Le contrôleur de service utilise l’attribut msDS SupportedEncryptionTypes du compte - pour déterminer le chiffrement pris en charge par le serveur et, s’il n’y a pas d’attribut, il suppose que l’ordinateur client ne prend pas en charge les types de chiffrement plus forts.The DC uses the account's msDS-SupportedEncryptionTypes attribute to determine what encryption the server supports and, if there is no attribute, it assumes the client computer does not support stronger encryption types. Si l’hôte est configuré pour ne pas prendre en charge RC4, l’authentification échouera toujours.If the host is configured to not support RC4, then authentication will always fail. Pour cette raison, AES doit toujours être configuré de manière explicite pour les comptes de service administrés.For this reason, AES should always be explicitly configured for MSAs.

Notes

À compter de Windows Server 2008 R2, DES est désactivé par défaut.Beginning with Windows Server 2008 R2, DES is disabled by default. Pour plus d’informations sur les types de chiffrement pris en charge, voir Modifications apportées à l’authentification Kerberos.For more information about supported encryption types, see Changes in Kerberos Authentication.

les service administrés ne s’appliquent pas aux systèmes d’exploitation Windows antérieurs à Windows Server 2012.gMSAs are not applicable to Windows operating systems prior to Windows Server 2012.

Informations sur le Gestionnaire de serveurServer Manager information

Aucune étape de configuration n’est nécessaire pour implémenter MSA et gMSA à l’aide de Gestionnaire de serveur ou de l’applet de commande install - WindowsFeature.There are no configuration steps necessary to implement MSA and gMSA using Server Manager or the Install-WindowsFeature cmdlet.

Voir aussiSee also

Le tableau ci-dessous fournit des liens vers des ressources supplémentaires relatives aux comptes de service administrés et aux comptes de service administrés de groupe.The following table provides links to additional resources related to Managed Service Accounts and group Managed Service Accounts.

Type de contenuContent type RéférencesReferences
Évaluation du produitProduct evaluation What's New for Managed Service AccountsWhat's New for Managed Service Accounts

Documentation sur les comptes de service administrés pour Windows 7 et Windows Server 2008 R2Managed Service Accounts Documentation for Windows 7 and Windows Server 2008 R2

-Guide pas à pas des comptes de service -Service Accounts Step-by-Step Guide

PlanificationPlanning Pas encore disponibleNot yet available
DéploiementDeployment Pas encore disponibleNot yet available
OpérationsOperations Comptes de service administrés dans Active DirectoryManaged Service Accounts in Active Directory
DépannageTroubleshooting Pas encore disponibleNot yet available
EvaluationEvaluation Prise en main avec les comptes de service administrés de groupeGetting Started with Group Managed Service Accounts
Outils et paramètresTools and settings Comptes de service administrés dans les services de domaine Active DirectoryManaged Service Accounts in Active Directory Domain Services
Ressources de la communautéCommunity resources Comptes de service administrés : présentation, implémentation, recommandations et dépannageManaged Service Accounts: Understanding, Implementing, Best Practices, and Troubleshooting
Technologies connexesRelated technologies Vue d’ensemble d’Active Directory Domain ServicesActive Directory Domain Services Overview