Group Managed Service Accounts Overview

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Questo argomento per i professionisti IT introduce l'account del servizio gestito del gruppo descrivendo le applicazioni pratiche, le modifiche apportate all'implementazione di Microsoft e i requisiti hardware e software.

Descrizione delle caratteristiche

Un account del servizio gestito autonomo (sMSA) è un account di dominio gestito che fornisce la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN) e la possibilità di delegare la gestione ad altri amministratori. Questo tipo di account del servizio gestito è stato introdotto in Windows Server 2008 R2 e Windows 7.

L'account del servizio gestito del gruppo (gMSA) offre la stessa funzionalità all'interno del dominio, ma estende anche tale funzionalità su più server. Quando ci si connette a un servizio ospitato in una server farm, ad esempio una soluzione con bilanciamento del carico di rete, i protocolli di autenticazione che supportano l'autenticazione reciproca richiedono che tutte le istanze dei servizi usino la stessa entità. Quando un account del servizio gestito del gruppo viene usato come entità servizio, il sistema operativo Windows gestisce la password per l'account invece di affidarsi all'amministratore per gestire la password.

Il Servizio distribuzione chiavi Microsoft (kdssvc.dll) fornisce il meccanismo per ottenere in modo sicuro la chiave più recente o una chiave specifica con un identificatore chiave per un account Active Directory. Il Servizio distribuzione chiavi condivide un segreto che viene utilizzato per creare le chiavi per l'account. Tali chiavi vengono modificate periodicamente. Per un account del servizio gestito del gruppo, il controller di dominio calcola la password nella chiave fornita dai servizi di distribuzione delle chiavi, oltre ad altri attributi dell'account del servizio gestito del gruppo. Gli host membro possono ottenere i valori correnti e precedenti della password contattando un controller di dominio.

Applicazioni pratiche

Gli account del servizio gestito del gruppo offrono una singola soluzione di gestione delle identità per i servizi in esecuzione in una server farm o nei sistemi protetti da Network Load Balancer. Fornendo una soluzione gMSA, i servizi possono essere configurati per la nuova entità del servizio gestito del gruppo e la gestione delle password viene gestita da Windows.

L'uso di un account del servizio gestito del gruppo, dei servizi o degli amministratori del servizio non deve gestire la sincronizzazione delle password tra istanze del servizio. L'account del servizio gestito del gruppo supporta gli host che vengono mantenuti offline per un periodo di tempo prolungato e la gestione degli host membri per tutte le istanze di un servizio. Di conseguenza, è possibile distribuire una server farm in grado di supportare una singola identità a cui tutti i computer client esistenti possono autenticarsi senza che sia nota l'istanza del servizio a cui si stanno connettendo.

I cluster di failover non supportano gli account del servizio gestiti del gruppo. Tuttavia, i servizi eseguiti sul servizio cluster possono usare un account del servizio gestito del gruppo o un account del servizi gestito (autonomo) se si tratta di un servizio Windows, di un pool di applicazioni, di un'attività pianificata o se supportano gli account del servizio gestito del gruppo o gli account del servizio gestiti (autonomi) a livello nativo.

Requisiti software

Per eseguire i comandi Windows PowerShell usati per amministrare gli account del servizio gestito di gruppo, è necessaria un'architettura a 64 bit.

Un account del servizio gestito dipende dai tipi di crittografia supportati da Kerberos. Quando un computer client esegue l'autenticazione a un server che utilizza Kerberos, il controller di dominio crea un ticket di servizio Kerberos con una crittografia supportata sia dal controller di dominio che dal server. Il controller di dominio usa l'attributo msDS-SupportedEncryptionTypes dell'account per determinare la crittografia supportata dal server e, se non esiste alcun attributo, presuppone che il computer client non supporti tipi di crittografia più avanzati. Se l'host è configurato per non supportare RC4, l'autenticazione avrà sempre esito negativo. Per questo motivo, per gli account del servizio gestiti è sempre consigliabile configurare la crittografia AES in modo esplicito.

Nota

A partire da Windows Server 2008 R2, la crittografia DES è disabilitata per impostazione predefinita. Per altre informazioni sui tipi di crittografia supportati, vedere Modifiche all'autenticazione Kerberos.

Gli account del servizio gestito di gruppo non sono applicabili ai sistemi operativi Windows prima di Windows Server 2012.

Informazioni su Server Manager

Non sono necessari passaggi di configurazione per implementare MSA e gMSA usando Server Manager o il cmdlet Install-WindowsFeature.

Nella tabella seguente vengono riportati i collegamenti a risorse aggiuntive relative agli account del servizio gestiti e agli account del servizio gestiti del gruppo.

Tipo di contenuto Riferimenti
Valutazione del prodotto What's New for Managed Service Accounts

Documentazione relativa agli account dei servizi gestiti per Windows 7 e Windows Server 2008 R2

Guida dettagliata agli account del servizio gestiti

Pianificazione Non ancora disponibile
Distribuzione Non ancora disponibile
Operazioni Account del servizio gestiti in Active Directory
Risoluzione dei problemi Non ancora disponibile
Versione di valutazione Introduzione con account del servizio gestito del gruppo
Strumenti e impostazioni Account del servizio gestiti in Servizi di dominio Active Directory
Risorse della community Account del servizio gestiti: informazioni, implementazione, procedure consigliate e risoluzione dei problemi.
Tecnologie correlate Panoramica di Active Directory Domain Services