What's New for Managed Service Accounts
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Cette rubrique destinée aux professionnels de l’informatique décrit les changements de fonctionnalité des comptes de service administrés avec l’introduction du Compte de service administré de groupe (gMSA) dans Windows Server 2012 et Windows 8.
Le compte de service administré est conçu pour fournir des services et effectuer des tâches, à l’image des services Windows et des pools d’applications IIS qui partagent leurs propres comptes de domaine, tout en supprimant la nécessité, pour un administrateur, de gérer manuellement les mots de passe de ces comptes. Il s’agit d’un compte de domaine administré qui fournit la gestion automatique des mots de passe.
Nouveautés des comptes de service administrés dans Windows Server 2012 et Windows 8
La section ci-dessous décrit les changements de fonctionnalité des comptes de service administrés dans Windows Server 2012 et Windows 8.
Group Managed Service Accounts
Lorsqu’un compte de domaine est configuré pour un serveur dans un domaine, l’ordinateur client peut s’authentifier auprès de ce service et s’y connecter. Auparavant, seuls deux types de compte pouvaient fournir une identité sans une gestion obligatoire du mot de passe. Toutefois, ces types de compte ont des limites :
Le compte d’ordinateur est limité à un serveur de domaine et les mots de passe sont gérés par l’ordinateur.
Le compte de service administré est limité à un serveur de domaine et les mots de passe sont gérés par l’ordinateur.
Ces comptes ne peuvent pas être partagés entre plusieurs systèmes. Par conséquent, vous devez régulièrement effectuer la maintenance du compte de chaque service, sur chaque système, afin d’éviter une expiration non souhaitée du mot de passe.
Quels avantages cette modification procure-t-elle ?
Le Compte de service administré de groupe résout ce problème, car le mot de passe du compte est géré par les contrôleurs de domaine Windows Server 2012 et peut être récupéré par plusieurs systèmes Windows Server 2012. Cela permet de réduire la charge de travail d’administration d’un compte de service en permettant à Windows de gérer les mots de passe de ces comptes.
En quoi le fonctionnement est-il différent ?
Sur les ordinateurs exécutant Windows Server 2012 ou Windows 8, un compte de service administré de groupe peut être créé et géré dans le Gestionnaire de contrôle des services, pour que plusieurs instances du service (par exemple, déployées dans une batterie de serveurs) puissent être gérées à partir d’un même serveur. Les outils et utilitaires (par exemple le Gestionnaire de pool d’applications IIS) dont vous vous servez pour gérer les comptes de service administrés, peuvent être utilisés avec les comptes de service administrés de groupe. Les administrateurs de domaine peuvent déléguer la gestion des services aux administrateurs de services, qui peuvent gérer le cycle de vie complet d’un compte de service administré ou du compte de service administré de groupe. Les ordinateurs clients existants sont en mesure de s’authentifier auprès de ce type de service sans savoir à quelle instance de service ils ont affaire.
Fonctionnalité supprimée ou déconseillée
Pour Windows Server 2012, les applets de commande Windows PowerShell gèrent par défaut les comptes de service administrés de groupe au lieu des comptes de service administrés de serveur.