Konfigurowanie domeny dla scenariusza kont usług zarządzanych przez grupę (gMSA)


Upewnij się, że wszystkie konta komputerów z MIM, na których ma zostać zainstalowane oprogramowanie, są już przyłączone do domeny. Następnie wykonaj te kroki w programie PowerShell jako administrator domeny.

  1. Utwórz grupę MIMSync_Servers i dodaj do MIM serwery synchronizacji. Wpisz następujące informacje, aby utworzyć nową grupę usługi AD dla MIM synchronizacji serwerów. Następnie dodaj do MIM konta komputerów usługi Active Directory serwera synchronizacji, np. contoso\MIMSync$.

    New-ADGroup –name MIMSync_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMSync_Servers
    Add-ADGroupmember -identity MIMSync_Servers -Members MIMSync$
    
  2. Utwórz MIM synchronizacji gMSA. Wpisz następujący kod w programie PowerShell.

    New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"
    

    Sprawdź szczegóły modułu GSMA utworzonego przez wykonanie polecenia Get-ADServiceAccount programu PowerShell:

    zrzut ekranu przedstawiający uruchamiane Get-ADServiceAccount programu PowerShell

  3. Jeśli planujesz uruchomienie usługi powiadamiania o zmianie hasła, musisz zarejestrować główną nazwę usługi, wykonując to polecenie programu PowerShell:

    Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}
    
  4. Uruchom ponownie MIM synchronizacji, aby odświeżyć token protokołu Kerberos skojarzony z serwerem w przypadku zmiany członkostwa w grupie "MIMSync_Server".

Tworzenie MIM usługi Agenta zarządzania usługami

  1. Zazwyczaj podczas instalowania MIM Service należy utworzyć nowe konto agenta zarządzania usługami MIM (MIM MA). W przypadku gMSA są dostępne dwie opcje:
  • Użyj MIM usługi synchronizacji zarządzanego przez grupę usług i nie twórz oddzielnego konta

    Możesz pominąć tworzenie konta usługi MIM Service Management Agent. W takim przypadku użyj nazwy MIM Synchronization Service gMSA, np. contoso\MIMSyncGMSAsvc$,zamiast konta MIM MA podczas instalowania usługi MIM Service. W dalszej części konfiguracji MIM Service Management Agent włącz opcję "Użyj konta MIMSync".

    Nie należy włączać ustawienia "Odmowa logowania z sieci" dla usługi MIM Synchronization Service gMSA, ponieważ konto MIM MA wymaga uprawnienia "Zezwalaj na logowanie do sieci".

  • Użyj zwykłego konta usługi dla konta MIM Service Management Agent

    Uruchom program PowerShell jako administrator domeny i wpisz następujące informacje, aby utworzyć nowego użytkownika domeny usługi AD:

    $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    
    New-ADUser –SamAccountName svcMIMMA –name svcMIMMA
    Set-ADAccountPassword –identity svcMIMMA –NewPassword $sp
    Set-ADUser –identity svcMIMMA –Enabled 1 –PasswordNeverExpires 1
    

    Nie należy włączać ustawienia "Odmowa logowania z sieci" dla konta MIM MA, ponieważ wymaga to uprawnienia "Zezwalaj na logowanie do sieci".

Tworzenie MIM, grup i jednostki usługi

Kontynuuj korzystanie z programu PowerShell jako administrator domeny.

  1. Utwórz grupę MIMService_Servers i dodaj do MIM serwery usługi. Wpisz następujący program PowerShell, aby utworzyć nową grupę usługi AD dla serwerów usługi MIM Service i dodać do tej grupy konto komputera usługi Active Directory serwera usługi MIM Service, np. contoso\MIMPortal$.

    New-ADGroup –name MIMService_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMService_Servers
    Add-ADGroupMember -identity MIMService_Servers -Members MIMPortal$
    
  2. Utwórz MIM usługi gMSA.

    New-ADServiceAccount -Name MIMSrvGMSAsvc -DNSHostName MIMSrvGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMService_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='FIMService/mimportal.contoso.com'} 
    
  3. Zarejestruj główną nazwę usługi i włącz delegowanie protokołu Kerberos, wykonując to polecenie programu PowerShell:

    Set-ADServiceAccount -Identity MIMSrvGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="FIMService/mimportal.contoso.com"}
    
  4. W przypadku scenariuszy samoobsługowego resetowania hasła konieczne jest, aby konto usługi MIM było w stanie komunikować się z usługą synchronizacji programu MIM, dlatego konto usługi MIM musi być członkiem grup MIMSyncAdministrators lub MIM Sync Password Reset and Browse:

    Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMSrvGMSAsvc$ 
    Add-ADGroupmember -identity MIMSyncBrowse -Members MIMSrvGMSAsvc$ 
    
  5. Uruchom ponownie serwer MIM Service, aby odświeżyć token protokołu Kerberos skojarzony z serwerem w przypadku zmiany MIMService_Servers grupy "MIMService_Servers".

Tworzenie innych MIM grup i kont w razie potrzeby

Jeśli konfigurujesz samoobsługowe samoobsługowe MIM, a następnie zgodnie z powyższymi wytycznymi dotyczącymi usług MIM Synchronization Service i MIM Service, możesz utworzyć inne konto usługi gMSA dla:

  • MIM aplikacji witryny sieci Web resetowania hasła
  • MIM aplikacji do rejestracji haseł w witrynie internetowej

Jeśli konfigurujesz usługę MIM PAM, a następnie zgodnie z powyższymi wytycznymi dotyczącymi usług MIM Synchronization Service i MIM Service, możesz utworzyć inne konto usługi gMSA dla:

  • MIM aplikacji witryny internetowej interfejsu API REST usługi PAM
  • MIM składnika PAM
  • MIM monitorowania usługi PAM

Określanie gMSA podczas instalowania MIM

Zgodnie z ogólną regułą w większości przypadków w przypadku korzystania z instalatora usługi MIM, aby określić, że chcesz użyć konta gMSA zamiast zwykłego konta, dołącz znak dolara do nazwy gMSA, np. contoso\MIMSyncGMSAsvc$i pozostaw pole hasła puste. Jednym z wyjątków jest miisactivate.exe, które akceptuje nazwę gMSA bez znaku dolara.

Ważne

Ten artykuł dotyczy tylko MIM SP2 2016.

Program Microsoft Identity Manager (MIM) współpracuje z Twoją domeną usługi Active Directory (AD). Usługa AD powinna już być zainstalowana, a w środowisku musi istnieć kontroler dla domeny, którą możesz administrować. W tym artykule opisano sposób skonfigurowania kont usług zarządzanych przez grupę w tej domenie do użycia przez MIM.

Omówienie

Konta usług zarządzane przez grupę eliminują konieczność okresowej zmiany haseł kont usług. W wersji MIM 2016 SP2 następujące składniki usługi MIM mogą mieć konta gMSA skonfigurowane do pracy podczas procesu instalacji:

  • MIM synchronization service (FIMSynchronizationService)
  • MIM Service (FIMService)
  • MIM aplikacji do rejestracji haseł w witrynie internetowej
  • MIM aplikacji witryny sieci Web resetowania hasła
  • Pula aplikacji witryny internetowej interfejsu API REST usługi PAM
  • Usługa monitorowania usługi PAM (PamMonitoringService)
  • Usługa składnika PAM (PrivilegeManagementComponentService)

Następujące składniki MIM nie obsługują uruchamiania jako konta gMSA:

  • MIM Portal. Wynika to z MIM Portal jest częścią SharePoint wirtualnego. Zamiast tego można wdrożyć program SharePoint w trybie farmy i skonfigurować automatyczną zmianę hasła na SharePoint Server.
  • Wszyscy agenci zarządzania
  • Zarządzanie certyfikatami firmy Microsoft
  • BHOLD

Więcej informacji na temat gMSA można znaleźć w tych artykułach:

Tworzenie grup i kont użytkowników

Wszystkie składniki wdrożenia programu MIM muszą mieć własną tożsamość w domenie. Dotyczy to między innymi składników programu MIM, takich jak Service i Sync, a także SharePoint i SQL.

Uwaga

W tym przewodniku zastosowano przykładowe nazwy i wartości dotyczące firmy o nazwie Contoso. Należy je zastąpić własnymi danymi. Na przykład:

  • Nazwa kontrolera domeny — kontroler domeny
  • Nazwa domeny — contoso
  • MIM serwera usługi — mimservice
  • MIM serwera synchronizacji — mimsync
  • SQL Server — sql
  • Hasło — Has@lo1
  1. Zaloguj się do kontrolera domeny jako administrator domeny (np. Contoso\Administrator).

  2. Utwórz następujące konta użytkowników dla usług programu MIM. Uruchom program PowerShell i wpisz następujący skrypt programu PowerShell, aby utworzyć nowych użytkowników domeny usługi AD (nie wszystkie konta są obowiązkowe, chociaż skrypt jest dostarczany tylko do celów informacyjnych, najlepszym rozwiązaniem jest użycie dedykowanego konta MIMAdmin na potrzeby procesu instalacji usług MIM i SharePoint).

    import-module activedirectory
    $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    
    New-ADUser –SamAccountName MIMAdmin –name MIMAdmin
    Set-ADAccountPassword –identity MIMAdmin –NewPassword $sp
    Set-ADUser –identity MIMAdmin –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName svcSharePoint –name svcSharePoint
    Set-ADAccountPassword –identity svcSharePoint –NewPassword $sp
    Set-ADUser –identity svcSharePoint –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName svcMIMSql –name svcMIMSql
    Set-ADAccountPassword –identity svcMIMSql –NewPassword $sp
    Set-ADUser –identity svcMIMSql –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName svcMIMAppPool –name svcMIMAppPool
    Set-ADAccountPassword –identity svcMIMAppPool –NewPassword $sp
    Set-ADUser –identity svcMIMAppPool –Enabled 1 -PasswordNeverExpires 1
    
  3. Utwórz grupy zabezpieczeń dla wszystkich grup.

    New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
    New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators
    New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
    New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
    New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet
    Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
    Add-ADGroupMember -identity MIMSyncAdmins -Members MIMAdmin
    
  4. Dodaj nazwy SPN, aby włączyć uwierzytelnianie Kerberos dla kont usług.

    setspn -S http/mim.contoso.com contoso\svcMIMAppPool
    
  5. Pamiętaj, aby zarejestrować następujące rekordy DNS "A" w celu prawidłowego rozpoznawania nazw (przy założeniu, że witryny sieci Web usługi MIM Service, MIM Portal, resetowania hasła i rejestracji haseł będą hostowane na tym samym komputerze)

    • mim.contoso.com — wskaż fizyczny adres IP serwera MIM Service and Portal
    • passwordreset.contoso.com — wskaż fizyczny adres IP serwera MIM Service and Portal
    • passwordregistration.contoso.com — wskaż fizyczny adres IP serwera usługi MIM Portal

Tworzenie klucza głównego usługi dystrybucji kluczy

Upewnij się, że zalogowano się do kontrolera domeny jako administrator w celu przygotowania usługi dystrybucji kluczy grupy.

Jeśli istnieje już klucz główny dla domeny (użyj get-KdsRootKey do sprawdzenia), przejdź do następnej sekcji.

  1. W razie potrzeby utwórz klucz główny usług dystrybucji kluczy (KDS) (tylko raz dla domeny). Klucz główny jest używany przez usługę KDS na kontrolerach domeny (wraz z innymi informacjami) do generowania haseł. Jako administrator domeny wpisz następujące polecenie programu PowerShell:

    Add-KDSRootKey –EffectiveImmediately
    

    –EffectiveImmediately może wymagać opóźnienia do około 10 godzin, ponieważ będzie konieczne replikowanie do wszystkich kontrolerów domeny. To opóźnienie wynosiło około 1 godziny dla dwóch kontrolerów domeny.

    zrzut ekranu polecenia programu PowerShell Add-KDSRootKey uruchamiany

    Uwaga

    W środowisku laboratoryjnym lub testowym można uniknąć 10-godzinnych opóźnień replikacji, uruchamiając następujące polecenie:
    Add-KDSRootKey -EffectiveTime ((Get-Date). AddHours(-10))

Tworzenie MIM usługi synchronizacji aplikacji, grupy i jednostki usługi