Getting Started with Group Managed Service Accounts

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Questa guida fornisce istruzioni dettagliate e informazioni in background per abilitare e usare gli account del servizio gestito di gruppo in Windows Server 2012 .

In questo documento

Nota

Questo argomento include cmdlet di esempio di Windows PowerShell che è possibile usare per automatizzare alcune delle procedure descritte. Per altre informazioni, vedere Utilizzo di cmdlet.

Prerequisiti

Vedere la sezione Requisiti per gli account del servizio gestiti del gruppo in questo argomento.

Introduzione

Quando un computer client si connette a un servizio ospitato in una server farm che usa il bilanciamento carico di rete (NBL) o un altro metodo in base al quale tutti i server sembrano essere lo stesso servizio per il client, non è possibile usare i protocolli di autenticazione che supportano l'autenticazione reciproca come Kerberos a meno che tutte le istanze dei servizi utilizzino la stessa entità. Di conseguenza, ogni servizio deve usare le stesse password/chiavi per dimostrare la propria identità.

Nota

I cluster di failover non supportano gli account del servizio gestiti del gruppo. Tuttavia, i servizi eseguiti sul servizio cluster possono usare un account del servizio gestito del gruppo o un account del servizi gestito (autonomo) se si tratta di un servizio Windows, di un pool di applicazioni, di un'attività pianificata o se supportano gli account del servizio gestito del gruppo o gli account del servizio gestiti (autonomi) a livello nativo.

I servizi consentono di scegliere tra le entità seguenti, ognuna delle quali presenta determinate limitazioni.

Principals Servizi supportati Gestione delle password
Account computer del sistema Windows Limitato a un server aggiunto al dominio Gestite dal computer
Account computer senza sistema Windows Qualsiasi server aggiunto al dominio Nessuno
Account virtuale Limitato a un server Gestite dal computer
Account del servizio gestito (autonomo) Windows 7 Limitato a un server aggiunto al dominio Gestite dal computer
Account utente Qualsiasi server aggiunto al dominio Nessuno
Account del servizio gestito del gruppo Qualsiasi server aggiunto al dominio Windows Server 2012 Gestite dal controller di dominio e recuperate dall'host

Un account computer Windows, un account del servizio gestito autonomo Windows 7 o gli account virtuali non possono essere condivisi in più sistemi. Nel caso degli account virtuali, l'identità è anche locale per il computer e non riconosciuta dal dominio. Se si configura un account per i servizi da condividere in server farm, è necessario scegliere un account utente o un account computer diverso da quello del sistema Windows. In entrambi i casi, questi account non dispongono della funzionalità di gestione delle password come singolo punto di controllo. Si crea quindi un problema perché ogni organizzazione deve elaborare una soluzione costosa per aggiornare le chiavi del servizio in Active Directory e distribuirle a tutte le istanze di tali servizi.

Con Windows Server 2012, i servizi o gli amministratori del servizio non devono gestire la sincronizzazione delle password tra le istanze del servizio quando si usano account del servizio gestito di gruppo (gMSA). Dopo avere eseguito il provisioning degli account del servizio gestiti del gruppo in Active Directory, si configura il servizio che supporta gli account del servizio gestiti del gruppo. L'uso del gMSA è compreso in qualsiasi computer in grado di usare LDAP per recuperare le credenziali di gMSA. È possibile effettuare il provisioning di un account del servizio gestito del gruppo con i cmdlet *-ADServiceAccount che fanno parte del modulo di Active Directory. La configurazione dell'identità del servizio nell'host è supportata da:

  • Le stesse API dell'account del servizio gestito (autonomo), in modo tale che i prodotti che supportano gli account del servizio gestiti (autonomo) supportino anche gli account del servizio gestiti del gruppo

  • Servizi che usano Gestione controllo servizi per configurare l'identità di accesso

  • Servizi che usano Gestione IIS per la configurazione dell'identità da parte di pool di applicazioni

  • Attività che usano l'Utilità di pianificazione.

Requisiti per gli account del servizio gestiti del gruppo

Nella tabella seguente sono indicati i requisiti del sistema operativo per l'uso dell'autenticazione Kerberos con servizi che usano account del servizio gestiti del gruppo. I requisiti di Active Directory sono riportati in calce alla tabella.

Per eseguire i comandi di Windows PowerShell utilizzati per amministrare account del servizio gestiti del gruppo, è richiesta un'architettura a 64 bit.

Requisiti del sistema operativo

Elemento Requisito Sistema operativo
Host dell'applicazione client Client Kerberos conforme a RFC Almeno Windows XP
Controller di dominio dell'account utente KDC conforme a RFC Almeno Windows Server 2003
Host membri del servizio condiviso Windows Server 2012
Controller di dominio dell'host membro KDC conforme a RFC Almeno Windows Server 2003
controller di dominio dell'account gMSA Windows Server 2012 controller di dominio disponibili per l'host per recuperare la password Dominio con Windows Server 2012 che può avere alcuni sistemi precedenti a Windows Server 2012
Host del servizio back-end Server applicazioni Kerberos conforme a RFC Almeno Windows Server 2003
Controller di dominio del servizio back-end KDC conforme a RFC Almeno Windows Server 2003
Windows PowerShell per Active Directory Windows PowerShell per Active Directory installato localmente in un computer che supporta un'architettura a 64 bit o nel computer di gestione remota (ad esempio con gli strumenti di amministrazione remota del server). Windows Server 2012

Requisiti per Servizi di dominio Active Directory

  • Lo schema di Active Directory nella foresta del dominio gMSA deve essere aggiornato per Windows Server 2012 per creare un gMSA.

    È possibile aggiornare lo schema installando un controller di dominio che esegue Windows Server 2012 o eseguendo la versione di adprep.exe da un computer che esegue Windows Server 2012 . Il valore dell'attributo della versione dell'oggetto per l'oggetto CN=Schema,CN=Configuration,DC=Contoso,DC=Com deve essere 52.

  • Provisioning del nuovo account del servizio gestito del gruppo

  • Se si gestisce l'autorizzazione dell'host del servizio all'uso di account del servizio gestiti del gruppo per gruppo, un gruppo di sicurezza nuovo o esistente

  • Se si gestisce il controllo di accesso al servizio per gruppo, un gruppo di sicurezza nuovo o esistente

  • Se la prima chiave radice master per Active Directory non è distribuita nel dominio o non è stata creata, è necessario crearla. Il risultato della creazione può essere verificato nel log operativo KdsSvc, ID evento 4004.

Per istruzioni su come creare la chiave, vedere Creare la chiave radice del servizio di distribuzione delle chiavi KDS. La chiave radice per Active Directory con il Servizio distribuzione chiavi Microsoft (kdssvc.dll).

Ciclo di vita

In genere, il ciclo di vita di una server farm in cui è usata la funzionalità Account del servizio gestito del gruppo prevede le attività seguenti:

  • Distribuzione di una nuova server farm

  • Aggiunta di host membri a una server farm esistente

  • Rimozione di host membri da una server farm esistente

  • Rimozione di una server farm esistente

  • Rimozione di un host membro compromesso da una server farm, se necessario.

Distribuzione di una nuova server farm

Nella distribuzione di una nuova server farm, l'amministratore del servizio dovrà stabilire:

  • Se il servizio supporta l'uso di account del servizio gestiti del gruppo

  • Se il servizio richiede connessioni autenticate in ingresso o in uscita

  • I nomi degli account computer per gli host membri del servizio che usa gli account del servizio gestiti del gruppo

  • Il nome NetBIOS del servizio

  • Il nome host DNS del servizio

  • I nomi dell'entità servizio (SPN) per il servizio

  • L'intervallo di modifica della password (per impostazione predefinita è di 30 giorni).

Passaggio 1: Provisioning degli account del servizio gestiti del gruppo

È possibile creare un gMSA solo se lo schema della foresta è stato aggiornato a Windows Server 2012 , la chiave radice master per Active Directory è stata distribuita ed è presente almeno un Windows Server 2012 controller di dominio nel dominio in cui verrà creato il gMSA.

L'appartenenza agli amministratori di dominio o la possibilità di creare oggetti msDS-GroupManagedServiceAccount è il minimo necessario per completare le procedure seguenti.

Nota

Un valore per il parametro -Name è sempre necessario (se si specifica -Name o meno), con -DNSHostName, -RestrictToSingleComputer e -RestrictToOutboundAuthentication essendo requisiti secondari per i tre scenari di distribuzione.

Per creare un account del servizio gestito del gruppo con il cmdlet New-ADServiceAccount

  1. Nel controller di dominio Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.

  2. Al prompt dei comandi di Windows PowerShell, digitare i comandi seguenti e quindi premere INVIO. (Il modulo Active Directory verrà caricato automaticamente.)

    New-ADServiceAccount [-Name] <stringa -DNSHostName string>> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]] [-SamAccountName <string>] [-ServicePrincipalNames<<[]>>]

    Parametro string Esempio
    Nome Nome dell'account ITFarm1
    DNSHostName Nome host DNS del servizio ITFarm1.contoso.com
    KerberosEncryptionType Qualsiasi tipo di crittografia supportata dai server host Nessuno, RC4, AES128, AES256
    ManagedPasswordIntervalInDays Intervallo di modifica della password espresso in giorni (se non è indicato, l'intervallo predefinito è di 30 giorni) 90
    PrincipalsAllowedToRetrieveManagedPassword Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri ITFarmHosts
    SamAccountName Nome NetBIOS del servizio se diverso dal Nome ITFarm1
    ServicePrincipalNames Nomi dell'entità servizio (SPN) per il servizio http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

    Importante

    È possibile impostare l'intervallo di modifica della password solo in fase di creazione. Per modificare l'intervallo, è necessario creare un nuovo account del servizio gestito del gruppo e impostarlo al momento della creazione.

    Esempio

    Immettere il comando su una singola riga, anche se le parole potrebbero tornare automaticamente a capo e quindi apparire su più righe a causa dei limiti di formattazione.

    New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
    

Per eseguire questa procedura, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la possibilità di creare oggetti msDS-GroupManagedServiceAccount. Per informazioni dettagliate sull'uso degli account e delle appartenenze ai gruppi appropriati, vedere Gruppi predefiniti di dominio e locali.

Per creare un account del servizio gestito del gruppo per l'autenticazione in uscita usando solo il cmdlet New-ADServiceAccount
  1. Nel controller di dominio Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.

  2. Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:

    New-ADServiceAccount [-Name] stringa -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]] <>[-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]>

    Parametro string Esempio
    Nome Nome dell'account ITFarm1
    ManagedPasswordIntervalInDays Intervallo di modifica della password espresso in giorni (se non è indicato, l'intervallo predefinito è di 30 giorni) 75
    PrincipalsAllowedToRetrieveManagedPassword Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri ITFarmHosts

    Importante

    È possibile impostare l'intervallo di modifica della password solo in fase di creazione. Per modificare l'intervallo, è necessario creare un nuovo account del servizio gestito del gruppo e impostarlo al momento della creazione.

Esempio

New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$

Passaggio 2: Configurazione del servizio Identità applicazione del servizio

Per configurare i servizi in Windows Server 2012 , vedere la documentazione della funzionalità seguente:

L'account del servizio gestito del gruppo potrebbe essere supportato da altri servizi. Per altre informazioni sulle modalità di configurazione di tali servizi, vedere la relativa documentazione di prodotto.

Aggiunta di host membri a una server farm esistente

Se si usano gruppi di sicurezza per la gestione degli host membro, aggiungere l'account computer per il nuovo host membro al gruppo di sicurezza (che gli host membri di gMSA sono membri) usando uno dei metodi seguenti.

Per eseguire queste procedure, è necessaria almeno l'appartenenza al gruppo Domain Admins o la possibilità di aggiungere membri all'oggetto gruppo di sicurezza.

Se si usano account computer, trovare gli account esistenti e aggiungere il nuovo account computer.

Per eseguire questa procedura, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la possibilità di gestire oggetti msDS-GroupManagedServiceAccount. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.

Per aggiungere host membri con il cmdlet Set-ADServiceAccount

  1. Nel controller di dominio Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.

  2. Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:

    Get-ADServiceAccount [-Identity] <stringa> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:

    Set-ADServiceAccount [-Identity] <stringa> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Parametro string Esempio
Nome Nome dell'account ITFarm1
PrincipalsAllowedToRetrieveManagedPassword Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri Host1, Host2, Host3

Esempio

Per aggiungere host membri, digitare i comandi seguenti e premere INVIO.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

Aggiornamento delle proprietà dell'account del servizio gestito del gruppo

Per eseguire queste procedure, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la possibilità di scrivere oggetti msDS-GroupManagedServiceAccount.

Aprire il modulo Active Directory per Windows PowerShell e impostare le proprietà con il cmdlet Set-ADServiceAccount.

Per altre informazioni su come impostare queste proprietà, vedere Set-ADServiceAccount nella libreria TechNet Library o digitare Get-Help Set-ADServiceAccount al prompt dei comandi del modulo Active Directory per Windows PowerShell e premere INVIO.

Rimozione di host membri da una server farm esistente

Per eseguire queste procedure, è necessaria almeno l'appartenenza al gruppo Domain Admins o la possibilità di rimuovere membri dall'oggetto gruppo di sicurezza.

Passaggio 1: Rimuovere host membri dall'account del servizio gestito del gruppo

Se si usano gruppi di sicurezza per la gestione degli host membro, rimuovere l'account computer per l'host membro rimosso dal gruppo di sicurezza che gli host membri di gMSA sono membri di usando uno dei metodi seguenti.

  • Metodo 1: Utenti e computer di Active Directory

    Per le procedure sull'uso di questo metodo, vedere Eliminare un account computer usando l'interfaccia di Windows e Gestire domini diversi nel Centro di amministrazione di Active Directory.

  • Metodo 2: drsm

    Per le procedure su come usare questo metodo, vedere Eliminare un account computer usando la riga di comando.

  • Metodo 3: cmdlet Remove-ADPrincipalGroupMembership di Active Directory per Windows PowerShell

    Per informazioni dettagliate su come eseguire questa operazione, vedere Remove-ADPrincipalGroupMembership nella libreria TechNet o digitando Get-Help Remove-ADPrincipalGroupMembership nel modulo Active Directory per Windows PowerShell prompt dei comandi e premendo INVIO.

Nel caso di elenchi di account computer, recuperare gli account esistenti e aggiungerli tutti tranne l'account computer rimosso.

Per eseguire questa procedura, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la possibilità di gestire oggetti msDS-GroupManagedServiceAccount. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.

Per rimuovere host membri con il cmdlet Set-ADServiceAccount
  1. Nel controller di dominio Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.

  2. Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:

    Get-ADServiceAccount [-Identity] <stringa> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:

    Set-ADServiceAccount [-Identity] <stringa> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Parametro string Esempio
Nome Nome dell'account ITFarm1
PrincipalsAllowedToRetrieveManagedPassword Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri Host1, Host3

Esempio

Per rimuovere host membri, digitare i comandi seguenti e premere INVIO.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

Passaggio 2: Rimozione di un account del servizio gestito del gruppo dal sistema

Rimuovere dall'host membro le credenziali dell'account del servizio gestito del gruppo memorizzate nella cache usando il cmdlet Uninstall-ADServiceAccount o l'API NetRemoveServiceAccount nel sistema host.

Per completare queste procedure è necessaria almeno l'appartenenza al gruppo Administrators oppure a un gruppo equivalente.

Per rimuovere un account del servizio gestito del gruppo con il cmdlet Uninstall-ADServiceAccount
  1. Nel controller di dominio Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.

  2. Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:

    Disinstalla-ADServiceAccount ADServiceAccount <>

    Esempio

    Per rimuovere le credenziali memorizzate nella cache di un account del servizio gestito del gruppo denominato ITFarm1, digitare ad esempio il comando seguente e quindi premere INVIO:

    Uninstall-ADServiceAccount ITFarm1
    

Per altre informazioni sul cmdlet Uninstall-ADServiceAccount, al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare Get-Help Uninstall-ADServiceAccounte quindi premere INVIO o vedere la pagina del sito Web TechNet dedicata al cmdlet Uninstall-ADServiceAccount.