Configurar um domínio para o cenário de Contas de Serviço Geridas de Grupo (gMSA)

Windows Server »

Importante

Este artigo aplica-se apenas ao MIM 2016 SP2.

O Microsoft Identity Manager (MIM) funciona com o seu domínio do Active Directory (AD). Já deve ter o AD instalado, e certifique-se de que tem um controlador de domínio no seu ambiente para um domínio que possa administrar. Este artigo descreve como configurar Contas de Serviço Geridas de Grupo nesse domínio para utilização pelo MIM.

Descrição Geral

As Contas de Serviço Geridas de Grupo eliminam a necessidade de alterar periodicamente as palavras-passe da conta de serviço. Com o lançamento do MIM 2016 SP2, os seguintes componentes do MIM podem ter contas gMSA configuradas para serem utilizadas durante o processo de instalação:

• Serviço de Sincronização do MIM (FIMSynchronizationService)
• Serviço MIM (FIMService)
• Conjunto aplicacional do site registo de palavras-passe do MIM
• Conjunto aplicacional de Web site de Reposição de Palavra-passe do MIM
• Conjunto aplicacional de web site da API REST de PAM
• Serviço de Monitorização de PAM (PamMonitoringService)
• Serviço de Componentes pam (PrivilegeManagementComponentService)

Os seguintes componentes do MIM não suportam a execução como contas gMSA:

• Portal do MIM. Isto acontece porque o Portal do MIM faz parte do ambiente do SharePoint. Em vez disso, pode implementar o SharePoint no modo de farm e Configurar a alteração automática de palavras-passe no SharePoint Server.
• Todos os Agentes de Gestão
• Gestão de Certificados da Microsoft
• BHOLD

Pode encontrar mais informações sobre gMSA nestes artigos:

• Descrição Geral das Contas de Serviço Geridas de Grupo

• New-ADServiceAccount

• Criar a Chave de Raiz KDS dos Serviços de Distribuição de Chaves

Configurar contas de utilizador e grupos

Todos os componentes de implementação do MIM têm as suas próprias identidades no domínio. Isto inclui os componentes MIM como Serviço e Sincronização, bem como SharePoint e SQL.

Nota

Estas instruções utilizam valores e nomes de exemplo de uma empresa denominada Contoso. Substitua estas instruções pelas suas. Por exemplo:

• Nome do controlador de domínio - dc
• Nome de domínio – contoso
• Nome do Servidor do Serviço MIM - mimservice
• Nome do Servidor de Sincronização do MIM - mimsync
• SQL Server nome - sql
• Palavra-passe – Palavra@passe1

1. Inicie sessão no controlador de domínio como o administrador do domínio (por exemplo, Contoso\Administrador).

2. Crie as seguintes contas de utilizador para os serviços MIM. Inicie o PowerShell e escreva o seguinte script do PowerShell para criar novos utilizadores de domínio do AD (nem todas as contas são obrigatórias, embora o script seja fornecido apenas para fins informativos, é uma melhor prática utilizar uma conta mimAdmin dedicada para o mim e o processo de instalação do SharePoint).

   import-module activedirectory
   $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   New-ADUser –SamAccountName MIMAdmin –name MIMAdmin
   Set-ADAccountPassword –identity MIMAdmin –NewPassword $sp
   Set-ADUser –identity MIMAdmin –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcSharePoint –name svcSharePoint
   Set-ADAccountPassword –identity svcSharePoint –NewPassword $sp
   Set-ADUser –identity svcSharePoint –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcMIMSql –name svcMIMSql
   Set-ADAccountPassword –identity svcMIMSql –NewPassword $sp
   Set-ADUser –identity svcMIMSql –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcMIMAppPool –name svcMIMAppPool
   Set-ADAccountPassword –identity svcMIMAppPool –NewPassword $sp
   Set-ADUser –identity svcMIMAppPool –Enabled 1 -PasswordNeverExpires 1
   

3. Crie grupos de segurança para todos os grupos.

   New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
   New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators
   New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
   New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
   New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet
   Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
   Add-ADGroupMember -identity MIMSyncAdmins -Members MIMAdmin
   

4. Adicionar SPNs para ativar a autenticação Kerberos nas contas de serviço

   setspn -S http/mim.contoso.com contoso\svcMIMAppPool
   

5. Certifique-se de que regista os seguintes registos DNS "A" para uma resolução de nomes adequada (assumindo que os sites serviço MIM, Portal do MIM, Reposição de Palavra-passe e Registo de Palavras-passe serão alojados no mesmo computador)

   • mim.contoso.com - aponte para o endereço IP físico do Serviço MIM e do Portal
   • passwordreset.contoso.com - aponte para o endereço IP físico do serviço MIM e do servidor do Portal
   • passwordregistration.contoso.com - aponte para o endereço IP físico do serviço MIM e do servidor do Portal

Criar Chave Raiz do Serviço de Distribuição de Chaves

Certifique-se de que tem sessão iniciada no controlador de domínio como administrador para preparar o serviço de distribuição de chaves de grupo.

Se já existir uma chave raiz para o domínio (utilize Get-KdsRootKey para verificar), avance para a secção seguinte.

6. Crie a Chave de Raiz dos Serviços de Distribuição de Chaves (KDS) (apenas uma vez por domínio), se necessário. A Chave Raiz é utilizada pelo serviço KDS em controladores de domínio (juntamente com outras informações) para gerar palavras-passe. Como administrador de domínio, escreva o seguinte comando do PowerShell:

   Add-KDSRootKey –EffectiveImmediately
   

   –EffectiveImmediately pode exigir um atraso de até ~10 horas, uma vez que terá de ser replicado para todos os controladores de domínio. Este atraso foi de aproximadamente 1 hora para dois controladores de domínio.

   

   Nota

   No ambiente laboratório ou teste, pode evitar um atraso de 10 horas de replicação ao executar o seguinte comando:
   Add-KDSRootKey -EffectiveTime ((Get-Date). AddHours(-10))

Criar conta, grupo e principal de serviço do Serviço de Sincronização do MIM

---

Certifique-se de que todas as contas de computador para computadores onde o software MIM está a ser instalado já estão associados ao domínio. Em seguida, execute estes passos no PowerShell como administrador de domínio.

7. Crie um grupo MIMSync_Servers e adicione todos os servidores de Sincronização do MIM a este grupo. Escreva o seguinte para criar um novo grupo do AD para Servidores de Sincronização do MIM. Em seguida, adicione contas de computador do Active Directory do servidor de Sincronização do MIM, por exemplo contoso\MIMSync$, a este grupo.

   New-ADGroup –name MIMSync_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMSync_Servers
   Add-ADGroupmember -identity MIMSync_Servers -Members MIMSync$
   

8. Crie o Serviço de Sincronização do MIM gMSA. Escreva o seguinte PowerShell.

   New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"
   

   Verifique os detalhes do GSMA criado ao executar o comando Do PowerShell Get-ADServiceAccount :

   

9. Se planear executar o Serviço de Notificação de Alteração de Palavra-passe, terá de registar o Nome do Principal do Serviço ao executar este comando do PowerShell:

   Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}
   

10. Reinicie o servidor de Sincronização do MIM para atualizar um token Kerberos associado ao servidor à medida que a associação ao grupo "MIMSync_Server" foi alterada.

Criar conta de serviço do Agente de Gestão do Serviço MIM

11. Normalmente, ao instalar o Serviço MIM, irá criar uma nova conta para o Agente de Gestão do Serviço MIM (conta MA do MIM). Com gMSA, existem duas opções disponíveis:

• Utilizar a conta de serviço gerida do grupo do Serviço de Sincronização do MIM e não criar uma conta separada

  Pode ignorar a criação da conta de serviço do Agente de Gestão de Serviços do MIM. Neste caso, utilize o nome gMSA do Serviço de Sincronização do MIM, por exemplo contoso\MIMSyncGMSAsvc$, em vez da conta MA do MIM ao instalar o Serviço MIM. Mais tarde, na configuração do Agente de Gestão do Serviço MIM, ative a opção "Utilizar Conta MIMSync" .

  Não ative a opção "Negar Início de Sessão da Rede" para o Serviço de Sincronização do MIM gMSA, uma vez que a conta MA do MIM requer a permissão "Permitir Início de Sessão na Rede".

• Utilizar uma conta de serviço regular para a conta de serviço do Agente de Gestão de Serviços do MIM

  Inicie o PowerShell como administrador de domínio e escreva o seguinte para criar um novo utilizador de domínio do AD:

  $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
  
  New-ADUser –SamAccountName svcMIMMA –name svcMIMMA
  Set-ADAccountPassword –identity svcMIMMA –NewPassword $sp
  Set-ADUser –identity svcMIMMA –Enabled 1 –PasswordNeverExpires 1
  

  Não ative "Negar Início de Sessão da Rede" para a conta ma do MIM, uma vez que requer a permissão "Permitir Início de Sessão na Rede".

Criar contas, grupos e principal de serviço do Serviço MIM

Continue a utilizar o PowerShell como administrador de domínio.

12. Crie um grupo MIMService_Servers e adicione todos os servidores do Serviço MIM a este grupo. Escreva o seguinte PowerShell para criar um novo grupo do AD para servidores do Serviço MIM e adicione a conta de computador do Active Directory do servidor do Serviço MIM, por exemplo contoso\MIMPortal$, a este grupo.

    New-ADGroup –name MIMService_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMService_Servers
    Add-ADGroupMember -identity MIMService_Servers -Members MIMPortal$
    

13. Crie o Serviço MIM gMSA.

    New-ADServiceAccount -Name MIMSrvGMSAsvc -DNSHostName MIMSrvGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMService_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='FIMService/mimportal.contoso.com'} 
    

14. Registe o Nome principal do serviço e ative a delegação kerberos ao executar este comando do PowerShell:

    Set-ADServiceAccount -Identity MIMSrvGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="FIMService/mimportal.contoso.com"}
    

15. Para cenários de SSPR, precisa que a Conta de Serviço MIM consiga comunicar com o Serviço de Sincronização do MIM, pelo que a conta do Serviço MIM tem de ser membro do MIMSyncAdministrators ou dos grupos de Reposição e Navegação de Palavra-passe da Sincronização do MIM:

    Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMSrvGMSAsvc$ 
    Add-ADGroupmember -identity MIMSyncBrowse -Members MIMSrvGMSAsvc$ 
    

16. Reinicie o servidor do Serviço MIM para atualizar um token Kerberos associado ao servidor à medida que a associação ao grupo "MIMService_Servers" foi alterada.

Criar outras contas e grupos do MIM, se necessário

Se estiver a configurar a SSPR do MIM, siga as mesmas diretrizes descritas acima para o Serviço de Sincronização do MIM e o Serviço MIM, pode criar outro gMSA para:

• Conjunto aplicacional de Web site de Reposição de Palavra-passe do MIM
• Conjunto aplicacional do site registo de palavras-passe do MIM

Se estiver a configurar o PAM do MIM, siga as mesmas diretrizes descritas acima para o Serviço de Sincronização do MIM e o Serviço MIM, pode criar outro gMSA para:

• Conjunto de aplicações de web site da API REST de PAM do MIM
• Serviço de Componentes PAM do MIM
• Serviço de Monitorização de PAM do MIM

Especificar uma gMSA ao instalar o MIM

Regra geral, na maioria dos casos, ao utilizar um instalador do MIM, para especificar que pretende utilizar uma gMSA em vez de uma conta normal, acrescente um caráter de sinal de dólar ao nome gMSA, por exemplo, contoso\MIMSyncGMSAsvc$, e deixe o campo de palavra-passe vazio. Uma exceção é a ferramenta miisactivate.exe que aceita o nome gMSA sem o sinal de dólar.

Windows Server »