Skapa ett grupphanterat tjänstkonto (gMSA) i Microsoft Entra Domain Services

Program och tjänster behöver ofta en identitet för att autentisera sig med andra resurser. En webbtjänst kan till exempel behöva autentisera med en databastjänst. Om ett program eller en tjänst har flera instanser, till exempel en webbservergrupp, blir det tidskrävande att manuellt skapa och konfigurera identiteterna för dessa resurser.

I stället kan ett grupphanterat tjänstkonto (gMSA) skapas i den hanterade domänen Microsoft Entra Domain Services. Windows-operativsystemet hanterar automatiskt autentiseringsuppgifterna för en gMSA, vilket förenklar hanteringen av stora grupper av resurser.

Den här artikeln visar hur du skapar en gMSA i en hanterad domän med Hjälp av Azure PowerShell.

Innan du börjar

För att slutföra den här artikeln behöver du följande resurser och behörigheter:

• En aktiv Azure-prenumeration.
  • Om du inte har en Azure-prenumeration skapar du ett konto.
• En Microsoft Entra-klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en katalog som endast är molnbaserad.
  • Om det behövs skapar du en Microsoft Entra-klientorganisation eller associerar en Azure-prenumeration med ditt konto.
• En hanterad domän i Microsoft Entra Domain Services har aktiverats och konfigurerats i din Microsoft Entra-klientorganisation.
  • Om det behövs slutför du självstudien för att skapa och konfigurera en hanterad Domän för Microsoft Entra Domain Services.
• En virtuell Windows Server-hanteringsdator som är ansluten till den hanterade domänen Domain Services.
  • Om det behövs slutför du självstudien för att skapa en virtuell hanteringsdator.

Översikt över hanterade tjänstkonton

Ett fristående hanterat tjänstkonto (sMSA) är ett domänkonto vars lösenord hanteras automatiskt. Den här metoden förenklar SPN-hanteringen (service principal name) och möjliggör delegerad hantering till andra administratörer. Du behöver inte skapa och rotera autentiseringsuppgifter manuellt för kontot.

Ett grupphanterat tjänstkonto (gMSA) tillhandahåller samma hanteringsförenkling, men för flera servrar i domänen. Med en gMSA kan alla instanser av en tjänst som finns i en servergrupp använda samma tjänsthuvudnamn för att protokoll för ömsesidig autentisering ska fungera. När en gMSA används som tjänstens huvudnamn hanterar Windows-operativsystemet återigen kontots lösenord i stället för att förlita sig på administratören.

Mer information finns i översikten över grupphanterade tjänstkonton (gMSA).

Använda tjänstkonton i Domain Services

Eftersom hanterade domäner är låsta och hanteras av Microsoft finns det några saker att tänka på när du använder tjänstkonton:

• Skapa tjänstkonton i anpassade organisationsenheter (OU) på den hanterade domänen.
  • Du kan inte skapa ett tjänstkonto i de inbyggda AADDC-användarna eller AADDC-datorernas organisationsenheter.
  • Skapa i stället en anpassad organisationsenhet i den hanterade domänen och skapa sedan tjänstkonton i den anpassade organisationsenheten.
• Nyckeldistributionstjänster (KDS) rotnyckeln är förskapad.
  • KDS-rotnyckeln används för att generera och hämta lösenord för gMSAs. I Domain Services skapas KDS-roten åt dig.
  • Du har inte behörighet att skapa en annan eller visa standardnyckeln KDS-rotnyckeln.

Skapa en gMSA

Skapa först en anpassad organisationsenhet med cmdleten New-ADOrganizationalUnit . Mer information om hur du skapar och hanterar anpassade organisationsenheter finns i Anpassade organisationsenheter i Domain Services.

Dricks

Om du vill slutföra de här stegen för att skapa en gMSA använder du den virtuella hanteringsdatorn. Den här virtuella hanteringsdatorn bör redan ha nödvändiga AD PowerShell-cmdletar och anslutning till den hanterade domänen.

I följande exempel skapas en anpassad organisationsenhet med namnet myNewOU i den hanterade domänen med namnet aaddscontoso.com. Använd din egen organisationsenhet och hanterade domännamn:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Skapa nu en gMSA med cmdleten New-ADServiceAccount . Följande exempelparametrar definieras:

• -Namnet är inställt på WebFarmSvc
• -Path-parametern anger den anpassade organisationsenheten för gMSA som skapades i föregående steg.
• DNS-poster och namn på tjänstens huvudnamn anges för WebFarmSvc.aaddscontoso.com
• Huvudkonton i AADDSCONTOSO-SERVER$ får hämta lösenordet och använda identiteten.

Ange egna namn och domännamn.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Program och tjänster kan nu konfigureras för att använda gMSA efter behov.

Nästa steg

Mer information om gMSAs finns i Komma igång med grupphanterade tjänstkonton.