グループの管理されたサービス アカウントの概要
適用対象: Windows Server 2012 R2,Windows Server 2012
IT 担当者向けのこのトピックでは、グループの管理されたサービス アカウントについて説明します。具体的には、実際の適用例、Microsoft の実装の変更点、ハードウェアとソフトウェアの要件、Windows Server 2012 の関連リソースを紹介します。
以下のリソースも参照してください。
管理されたサービス アカウント (スタンドアロン)
機能の説明
Windows Server 2008 R2 と Windows 7 で導入された "スタンドアロンの管理されたサービス アカウント" は管理されたドメイン アカウントであり、パスワードの自動管理と簡略化された SPN の管理が可能です (他の管理者への管理の委任も可)。
グループの管理されたサービス アカウントはドメイン内で同じ機能を提供しますが、複数のサーバーにその機能を拡張することもできます。 ネットワーク負荷分散など、サーバー ファームにホストされているサービスに接続されると、相互認証をサポートする認証プロトコルでは、サービスのすべてのインスタンスが同じプリンシパルを使用する必要があります。 グループの管理されたサービス アカウントをサービス プリンシパルとして使用すると、Windows オペレーティング システムでアカウントのパスワードが管理され、管理者がパスワードを管理することはなくなります。
Microsoft キー配布サービス (kdssvc.dll) は、Active Directory アカウントのキー識別子を持つ最新のキーまたは特定のキーを安全に取得するためのメカニズムを提供します。 このサービスは、Windows Server 2012 の新機能で、以前のバージョンの Windows Server オペレーティング システムでは動作しません。 キー配布サービスは、アカウントのキーの作成に使用されるシークレットを共有します。 これらのキーは定期的に変更されます。 グループの管理されたサービス アカウントでは、Windows Server 2012 ドメイン コントローラーは、グループの管理されたサービス アカウントの他の属性に加え、キー配布サービスから提供されたキーに基づくパスワードを計算します。Windows Server 2012 および Windows 8 のメンバー ホストは、Windows Server 2012 ドメイン コントローラーに問い合わせて、現在および以前のパスワード値を取得できます。
実際の適用例
グループの管理されたサービス アカウントは、サーバー ファームや、ネットワーク負荷分散の背後のシステムで実行されているサービスに対し、単一の ID ソリューションを提供します。 グループの MSA ソリューションを提供すると、新しいグループの MSA プリンシパル向けにサービスを構成でき、パスワード管理が Windows によって行われるようになります。
グループの管理されたサービス アカウントを使うと、サービス自体もサービス管理者も、サービス インスタンス間のパスワードの同期を管理せずに済みます。 グループの管理されたサービス アカウントは、長時間オフライン状態が続くホストと、サービスのすべてのインスタンスのメンバー ホストの管理をサポートします。 つまり、既存のクライアント コンピューターが接続先のサービス インスタンスを把握しなくても認証できる単一 ID がサポートされたサーバー ファームを展開できます。
フェールオーバー クラスターでは、gMSA をサポートしていません。 ただし、クラスター サービスの上位で実行されるサービスは、それが Windows サービス、アプリケーション プール、またはスケジュールされたタスクである場合、あるいは gMSA/sMSA をネイティブにサポートしている場合、gMSA または sMSA を使用できます。
新機能と変更された機能
次の表に、MSA 機能の変更点をまとめます。
機能 |
Windows Server 2008 R2 |
Windows Server 2012 |
|---|---|---|
仮想コンピューター アカウント |
○ |
○ |
管理されたサービス アカウント |
○ |
○ |
グループの管理されたサービス アカウント |
○ |
|
Windows PowerShell コマンドレット |
○ |
○ |
こうした MSA の機能の変更点の詳細については、「管理されたサービス アカウントの新機能」をご覧ください。
推奨されなくなった機能
Windows Server 2012 では、Windows PowerShell コマンドレットの既定の用途は、サーバーの管理されたサービス アカウントではなくグループの管理されたサービス アカウントを管理することです。
ソフトウェア要件
管理されたサービス アカウント (および仮想コンピューター アカウント) は、Windows Server 2008 R2 と Windows Server 2012 の両方に適用されます。 グループの管理されたサービス アカウントは、Windows Server 2012 が実行されているコンピューターでのみ構成および管理できますが、Windows Server 2012 より前のオペレーティング システムが実行されている DC を含むドメインに単一のサービス ID ソリューションとして展開できます。 ドメインまたはフォレスト機能レベルの要件はありません。
グループの管理されたサービス アカウントを管理するために使用する Windows PowerShell コマンドを実行するには、64 ビット アーキテクチャが必要です。
管理されたサービス アカウントは、Kerberos でサポートされる暗号化の種類によって決まります。Kerberos を使用するサーバーに対してクライアント コンピューターが認証されると、DC とサーバーの両方でサポートされる暗号化で保護される Kerberos サービスが DC で作成されます。 DC では、アカウントの msDS-SupportedEncryptionTypes 属性を使用して、サーバーでサポートされる暗号化を判断します。また、属性がない場合は、より強力な暗号化の種類がクライアント コンピューターでサポートされていないことを想定しています。Windows Server 2012 ホストが RC4 をサポートしないように構成されている場合は、常に認証に失敗します。 このため、AES は常に MSA 用に明示的に構成する必要があります。
注意
Windows Server 2008 R2 以降、既定では、DES が無効になっています。 サポートされる暗号化の種類の詳細については、「Kerberos 認証の変更点」を参照してください。
グループの管理されたサービス アカウントは、Windows Server 2012 より前の Windows オペレーティング システムには適用できません。
サーバー マネージャー情報
サーバー マネージャーまたは Install-WindowsFeature コマンドレットを使用して MSA およびグループの MSA を実装するために必要な構成手順はありません。
関連項目
次の表に、管理されたサービス アカウントとグループの管理されたサービス アカウントに関連する追加リソースへのリンクを掲載します。
コンテンツの種類 |
参考資料 |
|---|---|
製品評価 |
Windows 7 および Windows Server 2008 R2 向けの管理されたサービス アカウントのドキュメント |
計画 |
現在は入手不能 |
展開 |
現在は入手不能 |
運用 |
|
トラブルシューティング |
現在は入手不能 |
評価 |
|
ツールと設定 |
|
コミュニティ リソース |
|
関連テクノロジ |