Poznámka
Výhody hodnotenia stavu IT a hodnotenia na požiadanie si môžete vychutnať so zmluvou Premier, a to zakúpením aplikácie TOM Ako predplatného služby. Ďalšie informácie vám poskytne zástupca spoločnosti Microsoft.
Spustené hodnotenia s kontami spravovaných služieb
Kontá spravovaných služieb sú typom hlavného názvu zabezpečenia, ktorý je dostupný v aktuálne podporovaných verziách doménových služieb Active Directory. Zdieľajú vlastnosti hlavného meno používateľa aj počítačového zabezpečenia. Možno ich pridať do skupín zabezpečenia, overiť a získať prístup k zdrojom v sieti. Sú určené na použitie službami, fondov aplikácií služby IIS a naplánovaných úloh.
Výhody kont spravovaných služieb
Kontá spravovaných služieb sa sú riešiť konkrétne výzvy v podstate pri používaní používateľských kont pre spustené služby, naplánované úlohy a fondy aplikácií služieb IIS:
- Automatické spravovanie hesiel
- Zjednodušená správa hlavného názvu služby (SPN)
- Nedá sa použiť na interaktívne prihlásenie do Windows
- Jednoduché ovládanie počítačov s oprávnením na overenie msas a spustenie kódu v ich kontexte
Hodnotenia na požiadanie, ktoré môžu používať kontá spravovaných služieb
Kontá spravovaných služieb môžu byť nakonfigurované na spustenie nasledujúcich hodnotení na požiadanie.
- Active Directory
- Zabezpečenie služby Active Directory
- System Center Configuration Manager
- SharePoint
- SQL Server
- Windows Klient
- Windows Server
Poznámka
Služby zákazníkom spoločnosti Microsoft oficiálne nepodporuje kontá spravovaných služieb v prípade niektorých konfigurácií prostredia. Kým fungujú vo väčšine scenárov, môže byť potrebné použiť konto domény v prípade, že konfigurácie prostredia bránia používaniu konta spravovaných služieb.
Z poskytnutie kont spravovaných služieb
Predpokladom konfigurácie naplánovanej úlohy hodnotenia tak, aby sa spúšťala ako msa, je poskytnutie alebo vytvorenie MSA v doménových službách Active Directory. Každé z podporovaných hodnotení určuje oprávnenie a požiadavky na prístup k naplánovanému kontu úloh, aby sa úspešne spustiť. Pozrite si podporované dokumenty na získanie informácií o hodnotení a požadované dokumenty týkajúce sa požiadaviek na prístup k naplánovanému kontu úlohy.
Existujú dva typy kont spravovaných služieb. V prípade podporovaných hodnotení môže byť nakonfigurovaná buď úloha naplánovaná na hodnotenie:
- Samostatné kontá spravovaných služieb (známe aj ako virtuálne kontá) môžu byť oprávnené overiť len v počítači s jedinou doménou.
- Kontá skupinovej spravovanej služby môžu byť oprávnené overiť vo viacerých doménových počítačoch.
Na Windows PowerShell a konfiguráciu oboch typov MSA sa vyžaduje modul Windows PowerShell Active Directory. Radiče domén majú zvyčajne tento modul prostredia PowerShell nainštalovaný počas inštalácie roly radiča domény.
Modul, súčasť nástrojov na správu vzdialeného servera, možno pridať do SKU Windows Server cez Server Manager. Modul možno pridať aj do Windows 10.
Scenár 1 – Samostatné konto spravovanej služby (sMSA)
Schéma doménových služieb Active Directory musí byť minimálne Windows Server 2008 R2, aby bolo možné úspešne poskytnúť samostatné kontá spravovaných služieb. Počítače s naplánovanou úlohou ako sMSA musia byť spustené Windows Serveri 2012 alebo novšou spustená.
K dispozícii sú tri kroky na poskytnutie systému sMSA na spustenie hodnotení na požiadanie:
- Vytvorte sMSA pomocou rutiny typu cmdlet New-ADServiceAccount PowerShell.
- Autorizovať počítač na zhromažďovanie údajov na získanie hesla pre sMSA pomocou rutiny typu cmdlet Add-ADComputerServiceAccount PowerShell.
- Udeľte systému sMSA požadovaný prístup k prostrediu, ktoré sa vyhodnotili podľa dokumentácie, ktorá je nevyhnutná na konfiguráciu príslušného hodnotenia.
Vytvorenie konta standalone Managed Service
Ak chcete vytvoriť sMSA, spustite nasledujúci príkaz v rámci relácie prostredia PowerShell z radiča domény alebo člena domény s modulom služby Windows PowerShell Active Directory nainštalovaným pomocou konta s povoleniami potrebnými na vytváranie kont v službe Active Directory (operátory kont alebo správcovia domén majú predvolene potrebné povolenia).
New-ADServiceAccount -Name <sMSAaccountname> -RestrictToSingleComputer
Príklad: PS C: > New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer
Autorizovať zariadenie na zhromažďovanie údajov na používanie SMSA
Ak chcete povoliť počítaču na zhromažďovanie údajov na získanie hesla pre sMSA, spustite nasledujúci príkaz v relácii prostredia PowerShell z radiča domény alebo člena domény s modulom služby Windows PowerShell Active Directory nainštalovaným pomocou konta s potrebnými povoleniami na vytváranie kont v službe Active Directory (operátory kont alebo správcovia domén majú predvolene potrebné povolenia).
Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”
Príklad: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"
Inštalácia systému sMSA v zariadení na zhromažďovanie údajov
Predbežné ukladanie do vyrovnávacej ponuky systému sMSA v zariadení na zhromažďovanie údajov slúži dôležitému kroku overenia, aby sa zabezpečilo správne poskytnutie konta a zariadenie na zhromažďovanie údajov dokáže úspešne načítať heslo sMSA a používať konto. V počítači na zhromažďovanie údajov s nainštalovaným modulom PowerShell služby Active Directory spustite nasledovné.
Install-ADServiceAccount -Identity “sMSA samaccountname”
Príklad: Install-ADServiceAccount -Identity "sMSA-SVC$"
Poznámka
Ak sa vráti chyba Typu cmdlet Not found (Nenašiel sa), nainštalujte modul Active Directory PowerShell vysvetlený vyššie v časti Provision Managed Service Accounts (Kontá spravovaných služieb).
V prípade iných chýb si pozrite kanál denníka udalostí kategórie MSA v Windows Microsoft-Security-Hercegovinon/Operational event log.
Scenár 2 – Konto skupinovej spravovanej služby (gMSA)
Ak chcete úspešne z objektovať kontá spravovaných služieb skupiny, schéma doménových služieb Active Directory musí byť minimálne Windows Server 2012. Počítače s naplánovanou úlohou ako gMSA musia byť spustené Windows Serveri 2012 alebo novšou šou.
K dispozícii sú 3 kroky na poskytnutie systému gMSA na spustenie hodnotení na požiadanie:
- Vytvorenie koreňového kľúča KDS kľúčových distribučných služieb v rámci služby Active Directory pomocou Add-KDSRootKey
- Vytvorte gMSA a povolte počítač na zhromažďovanie údajov a získajte heslo pre gMSA pomocou rutiny typu cmdlet New-ADServiceAccount PowerShell.
- Po udelení prístupu do prostredia, ktoré sa vyhodnotila podľa príslušnej dokumentácie na konfiguráciu príslušného hodnotenia, udeľte GMSA požadovaný prístup do prostredia, ktoré sa vyhodnotila.
Koreňový kľúč KDS na poskytovanie
Koreňový kľúč KDS sa musí najskôr vytvoriť, ak nebol nikdy vytvorený v doménovej štruktúre služby Active Directory. Ak chcete zistiť, či existuje koreňový kľúč KDS, spustite tento príkaz v rámci relácie prostredia PowerShell.
Get-KdsRootKey
Poznámka
Ak sa z tohto príkazu nevráti nič, v doménovej štruktúre služby Active Directory neexistuje žiadny koreňový kľúč.
Ak chcete vytvoriť koreňový kľúč KDS, spustite nasledujúci príkaz v rámci relácie prostredia PowerShell z radiča domény alebo člena domény s modulom služby Windows PowerShell Active Directory nainštalovaným pomocou konta s povoleniami potrebnými na vytváranie kont v službe Active Directory (podnikoví správcovia a správcovia domén v koreňovej doméne doménovej skupine majú predvolene potrebné povolenia).
Add-KdsRootKey -EffectiveImmediately
Add-KdsRootKey -EffectiveImmediately umožňuje vytváranie gMSA po 10hrs, aby sa replikácia zhodná so všetkými DCs.
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) umožňuje vytváranie gMSAs okamžite.
Tento prístup predstavuje určité riziká spojené so neúspešnou tvorou gMSA alebo používaním, ak rozšírenie konvergencie replikácie AD trvá počas bežných operácií niekoľko hodín.
Vytvorenie konta skupinovej spravovanej služby
Ak chcete vytvoriť gMSA, spustite nasledujúci príkaz v rámci relácie prostredia PowerShell z radiča domény alebo člena domény s modulom služby Windows PowerShell Active Directory nainštalovaným pomocou konta s povoleniami potrebnými na vytváranie kont v službe Active Directory (operátory kont alebo správcovia domén majú predvolene potrebné povolenia).
New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”
Príklad: PS C: > New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"
Inštalácia gMSA v zariadení na zhromažďovanie údajov
Predbežné ukladanie do vyrovnávacej ponuky systému gMSA v zariadení na zhromažďovanie údajov slúži dôležitému kroku overenia, aby sa zabezpečilo správne poskytnutie konta a zariadenie na zhromažďovanie údajov dokáže úspešne načítať heslo gMSA a používať konto. V počítači na zhromažďovanie údajov s nainštalovaným modulom PowerShell služby Active Directory spustite nasledovné.
Install-ADServiceAccount -Identity “gMSA samaccountname”
Príklad: Install-ADServiceAccount -Identity "gMSA-SVC$"
Poznámka
Ak sa vráti chyba Typu cmdlet Not found (Nenašiel sa), nainštalujte modul Active Directory PowerShell vysvetlený vyššie v časti Provision Managed Service Accounts (Kontá spravovaných služieb).
V prípade iných chýb si pozrite kanál denníka udalostí kategórie MSA v Windows Microsoft-Security-Hercegovinon/Operational event log.
Ak chcete získať všeobecné pripomienky k Strediska zdrojov alebo k obsahu, pošlite svoje pripomienky zástupcovi spoločnosti Microsoft. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.