Getting Started with Group Managed Service Accounts
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Questa guida fornisce istruzioni dettagliate e informazioni in background per abilitare e usare gli account del servizio gestito di gruppo in Windows Server 2012 .
In questo documento
Nota
Questo argomento include cmdlet di esempio di Windows PowerShell che è possibile usare per automatizzare alcune delle procedure descritte. Per altre informazioni, vedere Utilizzo di cmdlet.
Prerequisiti
Vedere la sezione Requisiti per gli account del servizio gestiti del gruppo in questo argomento.
Introduzione
Quando un computer client si connette a un servizio ospitato in una server farm che usa il bilanciamento carico di rete (NBL) o un altro metodo in base al quale tutti i server sembrano essere lo stesso servizio per il client, non è possibile usare i protocolli di autenticazione che supportano l'autenticazione reciproca come Kerberos a meno che tutte le istanze dei servizi utilizzino la stessa entità. Di conseguenza, ogni servizio deve usare le stesse password/chiavi per dimostrare la propria identità.
Nota
I cluster di failover non supportano gli account del servizio gestiti del gruppo. Tuttavia, i servizi eseguiti sul servizio cluster possono usare un account del servizio gestito del gruppo o un account del servizi gestito (autonomo) se si tratta di un servizio Windows, di un pool di applicazioni, di un'attività pianificata o se supportano gli account del servizio gestito del gruppo o gli account del servizio gestiti (autonomi) a livello nativo.
I servizi consentono di scegliere tra le entità seguenti, ognuna delle quali presenta determinate limitazioni.
| Principals | Servizi supportati | Gestione delle password |
|---|---|---|
| Account computer del sistema Windows | Limitato a un server aggiunto al dominio | Gestite dal computer |
| Account computer senza sistema Windows | Qualsiasi server aggiunto al dominio | Nessuno |
| Account virtuale | Limitato a un server | Gestite dal computer |
| Account del servizio gestito (autonomo) Windows 7 | Limitato a un server aggiunto al dominio | Gestite dal computer |
| Account utente | Qualsiasi server aggiunto al dominio | Nessuno |
| Account del servizio gestito del gruppo | Qualsiasi server aggiunto al dominio Windows Server 2012 | Gestite dal controller di dominio e recuperate dall'host |
Un account computer Windows, un account del servizio gestito autonomo Windows 7 o gli account virtuali non possono essere condivisi in più sistemi. Nel caso degli account virtuali, l'identità è anche locale per il computer e non riconosciuta dal dominio. Se si configura un account per i servizi da condividere in server farm, è necessario scegliere un account utente o un account computer diverso da quello del sistema Windows. In entrambi i casi, questi account non dispongono della funzionalità di gestione delle password come singolo punto di controllo. Si crea quindi un problema perché ogni organizzazione deve elaborare una soluzione costosa per aggiornare le chiavi del servizio in Active Directory e distribuirle a tutte le istanze di tali servizi.
Con Windows Server 2012, i servizi o gli amministratori del servizio non devono gestire la sincronizzazione delle password tra le istanze del servizio quando si usano account del servizio gestito di gruppo (gMSA). Dopo avere eseguito il provisioning degli account del servizio gestiti del gruppo in Active Directory, si configura il servizio che supporta gli account del servizio gestiti del gruppo. L'uso del gMSA è compreso in qualsiasi computer in grado di usare LDAP per recuperare le credenziali di gMSA. È possibile effettuare il provisioning di un account del servizio gestito del gruppo con i cmdlet *-ADServiceAccount che fanno parte del modulo di Active Directory. La configurazione dell'identità del servizio nell'host è supportata da:
Le stesse API dell'account del servizio gestito (autonomo), in modo tale che i prodotti che supportano gli account del servizio gestiti (autonomo) supportino anche gli account del servizio gestiti del gruppo
Servizi che usano Gestione controllo servizi per configurare l'identità di accesso
Servizi che usano Gestione IIS per la configurazione dell'identità da parte di pool di applicazioni
Attività che usano l'Utilità di pianificazione.
Requisiti per gli account del servizio gestiti del gruppo
Nella tabella seguente sono indicati i requisiti del sistema operativo per l'uso dell'autenticazione Kerberos con servizi che usano account del servizio gestiti del gruppo. I requisiti di Active Directory sono riportati in calce alla tabella.
Per eseguire i comandi di Windows PowerShell utilizzati per amministrare account del servizio gestiti del gruppo, è richiesta un'architettura a 64 bit.
Requisiti del sistema operativo
| Elemento | Requisito | Sistema operativo |
|---|---|---|
| Host dell'applicazione client | Client Kerberos conforme a RFC | Almeno Windows XP |
| Controller di dominio dell'account utente | KDC conforme a RFC | Almeno Windows Server 2003 |
| Host membri del servizio condiviso | Windows Server 2012 | |
| Controller di dominio dell'host membro | KDC conforme a RFC | Almeno Windows Server 2003 |
| controller di dominio dell'account gMSA | Windows Server 2012 controller di dominio disponibili per l'host per recuperare la password | Dominio con Windows Server 2012 che può avere alcuni sistemi precedenti a Windows Server 2012 |
| Host del servizio back-end | Server applicazioni Kerberos conforme a RFC | Almeno Windows Server 2003 |
| Controller di dominio del servizio back-end | KDC conforme a RFC | Almeno Windows Server 2003 |
| Windows PowerShell per Active Directory | Windows PowerShell per Active Directory installato localmente in un computer che supporta un'architettura a 64 bit o nel computer di gestione remota (ad esempio con gli strumenti di amministrazione remota del server). | Windows Server 2012 |
Requisiti per Servizi di dominio Active Directory
Lo schema di Active Directory nella foresta del dominio gMSA deve essere aggiornato per Windows Server 2012 per creare un gMSA.
È possibile aggiornare lo schema installando un controller di dominio che esegue Windows Server 2012 o eseguendo la versione di adprep.exe da un computer che esegue Windows Server 2012 . Il valore dell'attributo della versione dell'oggetto per l'oggetto CN=Schema,CN=Configuration,DC=Contoso,DC=Com deve essere 52.
Provisioning del nuovo account del servizio gestito del gruppo
Se si gestisce l'autorizzazione dell'host del servizio all'uso di account del servizio gestiti del gruppo per gruppo, un gruppo di sicurezza nuovo o esistente
Se si gestisce il controllo di accesso al servizio per gruppo, un gruppo di sicurezza nuovo o esistente
Se la prima chiave radice master per Active Directory non è distribuita nel dominio o non è stata creata, è necessario crearla. Il risultato della creazione può essere verificato nel log operativo KdsSvc, ID evento 4004.
Per istruzioni su come creare la chiave, vedere Creare la chiave radice del servizio di distribuzione delle chiavi KDS. La chiave radice per Active Directory con il Servizio distribuzione chiavi Microsoft (kdssvc.dll).
Ciclo di vita
In genere, il ciclo di vita di una server farm in cui è usata la funzionalità Account del servizio gestito del gruppo prevede le attività seguenti:
Distribuzione di una nuova server farm
Aggiunta di host membri a una server farm esistente
Rimozione di host membri da una server farm esistente
Rimozione di una server farm esistente
Rimozione di un host membro compromesso da una server farm, se necessario.
Distribuzione di una nuova server farm
Nella distribuzione di una nuova server farm, l'amministratore del servizio dovrà stabilire:
Se il servizio supporta l'uso di account del servizio gestiti del gruppo
Se il servizio richiede connessioni autenticate in ingresso o in uscita
I nomi degli account computer per gli host membri del servizio che usa gli account del servizio gestiti del gruppo
Il nome NetBIOS del servizio
Il nome host DNS del servizio
I nomi dell'entità servizio (SPN) per il servizio
L'intervallo di modifica della password (per impostazione predefinita è di 30 giorni).
Passaggio 1: Provisioning degli account del servizio gestiti del gruppo
È possibile creare un gMSA solo se lo schema della foresta è stato aggiornato a Windows Server 2012 , la chiave radice master per Active Directory è stata distribuita ed è presente almeno un Windows Server 2012 controller di dominio nel dominio in cui verrà creato il gMSA.
L'appartenenza agli amministratori di dominio o la possibilità di creare oggetti msDS-GroupManagedServiceAccount è il minimo necessario per completare le procedure seguenti.
Nota
Un valore per il parametro -Name è sempre necessario (se si specifica -Name o meno), con -DNSHostName, -RestrictToSingleComputer e -RestrictToOutboundAuthentication essendo requisiti secondari per i tre scenari di distribuzione.
Per creare un account del servizio gestito del gruppo con il cmdlet New-ADServiceAccount
Nel controller di dominio Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi di Windows PowerShell, digitare i comandi seguenti e quindi premere INVIO. (Il modulo Active Directory verrà caricato automaticamente.)
New-ADServiceAccount [-Name] <stringa -DNSHostName string>> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]] [-SamAccountName <string>] [-ServicePrincipalNames<<[]>>]
Parametro string Esempio Nome Nome dell'account ITFarm1 DNSHostName Nome host DNS del servizio ITFarm1.contoso.com KerberosEncryptionType Qualsiasi tipo di crittografia supportata dai server host Nessuno, RC4, AES128, AES256 ManagedPasswordIntervalInDays Intervallo di modifica della password espresso in giorni (se non è indicato, l'intervallo predefinito è di 30 giorni) 90 PrincipalsAllowedToRetrieveManagedPassword Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri ITFarmHosts SamAccountName Nome NetBIOS del servizio se diverso dal Nome ITFarm1 ServicePrincipalNames Nomi dell'entità servizio (SPN) per il servizio http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01 Importante
È possibile impostare l'intervallo di modifica della password solo in fase di creazione. Per modificare l'intervallo, è necessario creare un nuovo account del servizio gestito del gruppo e impostarlo al momento della creazione.
Esempio
Immettere il comando su una singola riga, anche se le parole potrebbero tornare automaticamente a capo e quindi apparire su più righe a causa dei limiti di formattazione.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Per eseguire questa procedura, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la possibilità di creare oggetti msDS-GroupManagedServiceAccount. Per informazioni dettagliate sull'uso degli account e delle appartenenze ai gruppi appropriati, vedere Gruppi predefiniti di dominio e locali.
Per creare un account del servizio gestito del gruppo per l'autenticazione in uscita usando solo il cmdlet New-ADServiceAccount
Nel controller di dominio Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
New-ADServiceAccount [-Name] stringa -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]] <>[-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]>
Parametro string Esempio Nome Nome dell'account ITFarm1 ManagedPasswordIntervalInDays Intervallo di modifica della password espresso in giorni (se non è indicato, l'intervallo predefinito è di 30 giorni) 75 PrincipalsAllowedToRetrieveManagedPassword Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri ITFarmHosts Importante
È possibile impostare l'intervallo di modifica della password solo in fase di creazione. Per modificare l'intervallo, è necessario creare un nuovo account del servizio gestito del gruppo e impostarlo al momento della creazione.
Esempio
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
Passaggio 2: Configurazione del servizio Identità applicazione del servizio
Per configurare i servizi in Windows Server 2012 , vedere la documentazione della funzionalità seguente:
Pool di applicazioni IIS
Per altre informazioni, vedere Specificare l'identità del pool di applicazioni usato dai siti portale (IIS 7).
servizi Windows
Per altre informazioni, vedere Servizi.
Attività
Per altre informazioni, vedere Panoramica dell'Utilità di pianificazione.
L'account del servizio gestito del gruppo potrebbe essere supportato da altri servizi. Per altre informazioni sulle modalità di configurazione di tali servizi, vedere la relativa documentazione di prodotto.
Aggiunta di host membri a una server farm esistente
Se si usano gruppi di sicurezza per la gestione degli host membro, aggiungere l'account computer per il nuovo host membro al gruppo di sicurezza (che gli host membri di gMSA sono membri) usando uno dei metodi seguenti.
Per eseguire queste procedure, è necessaria almeno l'appartenenza al gruppo Domain Admins o la possibilità di aggiungere membri all'oggetto gruppo di sicurezza.
Metodo 1: Utenti e computer di Active Directory
Per le procedure sull'uso di questo metodo, vedere Aggiungere un account computer a un gruppo usando l'interfaccia di Windows e Gestire domini diversi nel Centro di amministrazione di Active Directory.
Metodo 2: dsmod
Per le procedure su come usare questo metodo, vedere Aggiungere un account computer a un gruppo usando la riga di comando.
Metodo 3: cmdlet Add-ADPrincipalGroupMembership di Active Directory per Windows PowerShell
Per le procedure su come usare questo metodo, vedere Add-ADPrincipalGroupMembership.
Se si usano account computer, trovare gli account esistenti e aggiungere il nuovo account computer.
Per eseguire questa procedura, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la possibilità di gestire oggetti msDS-GroupManagedServiceAccount. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.
Per aggiungere host membri con il cmdlet Set-ADServiceAccount
Nel controller di dominio Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Get-ADServiceAccount [-Identity] <stringa> -Properties PrincipalsAllowedToRetrieveManagedPassword
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Set-ADServiceAccount [-Identity] <stringa> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
| Parametro | string | Esempio |
|---|---|---|
| Nome | Nome dell'account | ITFarm1 |
| PrincipalsAllowedToRetrieveManagedPassword | Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri | Host1, Host2, Host3 |
Esempio
Per aggiungere host membri, digitare i comandi seguenti e premere INVIO.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$
Aggiornamento delle proprietà dell'account del servizio gestito del gruppo
Per eseguire queste procedure, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la possibilità di scrivere oggetti msDS-GroupManagedServiceAccount.
Aprire il modulo Active Directory per Windows PowerShell e impostare le proprietà con il cmdlet Set-ADServiceAccount.
Per altre informazioni su come impostare queste proprietà, vedere Set-ADServiceAccount nella libreria TechNet Library o digitare Get-Help Set-ADServiceAccount al prompt dei comandi del modulo Active Directory per Windows PowerShell e premere INVIO.
Rimozione di host membri da una server farm esistente
Per eseguire queste procedure, è necessaria almeno l'appartenenza al gruppo Domain Admins o la possibilità di rimuovere membri dall'oggetto gruppo di sicurezza.
Passaggio 1: Rimuovere host membri dall'account del servizio gestito del gruppo
Se si usano gruppi di sicurezza per la gestione degli host membro, rimuovere l'account computer per l'host membro rimosso dal gruppo di sicurezza che gli host membri di gMSA sono membri di usando uno dei metodi seguenti.
Metodo 1: Utenti e computer di Active Directory
Per le procedure sull'uso di questo metodo, vedere Eliminare un account computer usando l'interfaccia di Windows e Gestire domini diversi nel Centro di amministrazione di Active Directory.
Metodo 2: drsm
Per le procedure su come usare questo metodo, vedere Eliminare un account computer usando la riga di comando.
Metodo 3: cmdlet Remove-ADPrincipalGroupMembership di Active Directory per Windows PowerShell
Per informazioni dettagliate su come eseguire questa operazione, vedere Remove-ADPrincipalGroupMembership nella libreria TechNet o digitando Get-Help Remove-ADPrincipalGroupMembership nel modulo Active Directory per Windows PowerShell prompt dei comandi e premendo INVIO.
Nel caso di elenchi di account computer, recuperare gli account esistenti e aggiungerli tutti tranne l'account computer rimosso.
Per eseguire questa procedura, è necessaria almeno l'appartenenza ai gruppi Domain Admins o Account Operators o la possibilità di gestire oggetti msDS-GroupManagedServiceAccount. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.
Per rimuovere host membri con il cmdlet Set-ADServiceAccount
Nel controller di dominio Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Get-ADServiceAccount [-Identity] <stringa> -Properties PrincipalsAllowedToRetrieveManagedPassword
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Set-ADServiceAccount [-Identity] <stringa> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
| Parametro | string | Esempio |
|---|---|---|
| Nome | Nome dell'account | ITFarm1 |
| PrincipalsAllowedToRetrieveManagedPassword | Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri | Host1, Host3 |
Esempio
Per rimuovere host membri, digitare i comandi seguenti e premere INVIO.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$
Passaggio 2: Rimozione di un account del servizio gestito del gruppo dal sistema
Rimuovere dall'host membro le credenziali dell'account del servizio gestito del gruppo memorizzate nella cache usando il cmdlet Uninstall-ADServiceAccount o l'API NetRemoveServiceAccount nel sistema host.
Per completare queste procedure è necessaria almeno l'appartenenza al gruppo Administrators oppure a un gruppo equivalente.
Per rimuovere un account del servizio gestito del gruppo con il cmdlet Uninstall-ADServiceAccount
Nel controller di dominio Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Disinstalla-ADServiceAccount ADServiceAccount <>
Esempio
Per rimuovere le credenziali memorizzate nella cache di un account del servizio gestito del gruppo denominato ITFarm1, digitare ad esempio il comando seguente e quindi premere INVIO:
Uninstall-ADServiceAccount ITFarm1
Per altre informazioni sul cmdlet Uninstall-ADServiceAccount, al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare Get-Help Uninstall-ADServiceAccounte quindi premere INVIO o vedere la pagina del sito Web TechNet dedicata al cmdlet Uninstall-ADServiceAccount.