Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie gruppenverwaltete Dienstkonten (Group Managed Service Accounts, gMSA) in Windows Server aktivieren und verwenden.
Authentifizierungsprotokolle, die eine gegenseitige Authentifizierung unterstützen, wie z. B. Kerberos, können nur verwendet werden, wenn alle Instanzen der Dienste denselben Principal verwenden. Wenn beispielsweise ein Client-Computer eine Verbindung zu einem Dienst herstellt, der Lastausgleich oder eine andere Methode verwendet, bei der alle Server für den Client als derselbe Dienst erscheinen. Wenn beispielsweise ein Client-Computer eine Verbindung zu einem Dienst herstellt, der Lastausgleich oder eine andere Methode verwendet, bei der alle Server für den Client als derselbe Dienst erscheinen. Gruppenverwaltete Servicekonten (Group Managed Service Accounts, gMSA) sind eine Art von Konto, das mit mehreren Servern verwendet werden kann. Ein gMSA ist ein Domänenkonto, mit dem Sie Dienste auf mehreren Servern ausführen können, ohne das Passwort verwalten zu müssen. Der gMSA bietet eine automatische Passwortverwaltung und eine vereinfachte Verwaltung von Dienstprinzipalnamen (SPN), einschließlich der Delegation der Verwaltung an andere Administratoren.
Hinweis
Failovercluster unterstützen keine gruppenverwalteten Dienstkonten. Dienste, die über dem Clusterdienst ausgeführt werden, können jedoch ein gMSA oder sMSA verwenden, wenn sie Windows-Dienste, App-Pools, geplante Aufgaben oder Anwendungen sind, die nativ gMSA oder sMSA unterstützen.
Dienste können den zu verwendenden Principal wählen. Jeder Principal-Typ unterstützt unterschiedliche Dienste und hat unterschiedliche Grenzwerte.
| Principals | Unterstützte Dienste | Kennwortverwaltung |
|---|---|---|
| Computerkonto von Windows-System | Auf einen mit einer Domäne verbundenen Server | Vom Computer verwaltet |
| Computerkonto ohne Windows-System | Jeder mit einer Domäne verbundene Server | Nichts |
| Virtuelles Konto | Auf einen Server begrenzt | Vom Computer verwaltet |
| Eigenständiges Windows Managed Service-Konto | Auf einen mit einer Domäne verbundenen Server | Vom Computer verwaltet |
| Benutzerkonto | Jeder mit einer Domäne verbundene Server | Nichts |
| Gruppenverwaltetes Dienstkonto | Jeder mit einer Windows Server-Domäne verbundene Server | Der Domänencontroller verwaltet, und der Host ruft ab |
Ein Windows-Computerkonto, ein Windows Standalone Managed Service Account (sMSA) oder virtuelle Konten können nicht über mehrere Systeme hinweg gemeinsam genutzt werden. Wenn Sie virtuelle Konten verwenden, ist die Identität auch lokal auf dem Rechner und wird von der Domäne nicht erkannt. Wenn Sie ein Konto für Dienste auf freizugebenden Serverfarmen konfigurieren, müssten Sie getrennt vom Windows-System ein Benutzer- oder Computerkonto auswählen. In jedem Fall haben diese Konten nicht die Möglichkeit einer zentralen Passwortverwaltung. Ohne Kennwortverwaltung muss jede Organisation Schlüssel für den Dienst in Active Directory (AD) aktualisieren und diese Schlüssel an alle Instanzen dieser Dienste verteilen.
Mit Windows Server müssen Dienste und Dienstadministratoren die Passwortsynchronisierung zwischen Dienstinstanzen nicht verwalten, wenn sie gMSA verwenden. Sie erstellen die gMSA in AD und konfigurieren dann den Dienst, der verwaltete Dienstkonten unterstützt. Die Verwendung der gMSA ist auf jeden Computer beschränkt, der das Lightweight Directory Access Protocol (LDAP) zum Abrufen der GMSA-Anmeldeinformationen verwenden kann. Sie können eine gMSA mithilfe der New-ADServiceAccount Cmdlets erstellen, die Teil des AD-Moduls sind. Die folgenden Dienste unterstützen die Konfiguration der Dienstidentität auf dem Host.
Dieselben APIs wie sMSA. Produkte, die sMSA unterstützen, unterstützen also auch gMSA.
Dienste, die den Dienststeuerungs-Manager zum Konfigurieren der Anmeldeidentität verwenden
Dienste, die den IIS-Manager (Internet Information Services) für Anwendungspools zum Konfigurieren der Identität verwenden
Aufgaben, die den Vorgangszeitplaner verwenden.
Voraussetzungen
Um GMSAs zu verwalten, muss Ihr Gerät die folgenden Anforderungen erfüllen:
Auf Ihrem Gerät muss die Active Directory Domain Services (AD DS)-Rolle installiert sein. Weitere Informationen finden Sie unter Hinzufügen oder Entfernen von Rollen und Features in Windows Server.
Sie müssen Mitglied der Gruppe "Domänenadministratoren " oder "Unternehmensadministratoren" sein.
Sowohl die Domänen- als auch die Waldfunktionsebene sollten auf Windows Server 2012 oder höher aktiviert sein, um gMSA-Funktionen für alle Geräte zu unterstützen. Um mehr über das Aktualisieren des Schemas zu erfahren, siehe Erhöhen Sie die Domänen- und Waldfunktionsebenen in Aktiv Directory Bereich Dienste.
Ein Schlüsselstammschlüssel (Key Distribution Services, KDS) muss in der Domäne für die sichere Kennwortverwaltung erstellt werden. Überprüfen Sie die Erstellung mithilfe des KdsSvc-Betriebsprotokolls (Ereignis-ID 4004). Weitere Informationen zum Erstellen des KDS(kdssvc.dll)-Stammschlüssels finden Sie unter Erstellen des KDS-Stammschlüssels für Schlüsselverteilungsdienste.
Tipp
Um zu steuern, welche Hosts oder Dienste ein gMSA verwenden können, fügen Sie deren Computerkonten einer bestimmten Sicherheitsgruppe (entweder neu oder vorhanden) hinzu, und weisen Sie dieser Gruppe die erforderlichen Berechtigungen zu. Verwenden Sie ebenfalls eine Sicherheitsgruppe, um den Zugriff für Dienste zu verwalten, die unter GMSAs ausgeführt werden, um sicherzustellen, dass die Gruppe über alle erforderlichen Berechtigungen für den Dienstbetrieb und den Ressourcenzugriff verfügt.
Für die Kerberos-Authentifizierung für die Arbeit mit Diensten mit gMSAs sind folgende Schritte erforderlich:
Stellen Sie sicher, dass die SPNs für jeden Dienst mit einem gMSA ordnungsgemäß registriert sind. Dadurch kann Kerberos den Dienst identifizieren und authentifizieren.
Stellen Sie sicher, dass DNS-Einträge für die Namensauflösung ordnungsgemäß eingerichtet sind, auf der Kerberos zum Suchen von Domänendiensten basiert.
Stellen Sie sicher, dass Firewalls und Netzwerkrichtlinien Kerberos-Datenverkehr und die erforderliche Dienstkommunikation zulassen.
Konfigurieren Sie für die Einstellungen für die Kerberos-Ticketlebensdauer die Richtlinien für den Ticketablauf und die Verlängerung gemäß Ihren Sicherheits- und Betriebsanforderungen.
Alle systeme, die am Authentifizierungsprozess beteiligt sind, müssen synchronisierte Uhren haben. Kerberos ist empfindlich gegenüber der Zeitkonfiguration, und Diskrepanzen können Authentifizierungsfehler verursachen.
Wenn Sie AD von einem Computer verwalten, auf dem es sich nicht um einen Domänencontroller handelt, installieren Sie die Remoteserver-Verwaltungstools (REMOTE Server Administration Tools, RSAT), um auf die erforderlichen Verwaltungsfunktionen zuzugreifen. RSAT stellt das AD-Modul für PowerShell bereit. Öffnen Sie nach der Installation von RSAT PowerShell als Administrator und führen Sie Import-Module ActiveDirectory aus, um AD-Verwaltungs-Cmdlets zu aktivieren. Auf diese Weise können Administratoren AD remote und sicher verwalten, wodurch die Last auf Domänencontrollern minimiert wird.
Erstellen eines gMSA
Führen Sie die folgenden Schritte in einem PowerShell-Fenster mit erhöhten Rechten aus, um ein gMSA mit PowerShell zu erstellen:
Von Bedeutung
gMSA-Kontonamen müssen innerhalb einer Forest-Ebene und nicht nur innerhalb einer Domäne eindeutig sein. Wenn Sie versuchen, ein gMSA-Konto mit einem doppelten Namen zu erstellen, schlägt dies auch in verschiedenen Domänen fehl.
Erstellen Sie den KDS-Stammschlüssel, falls nicht vorhanden, indem Sie den Leitfaden unter Erstellen des KDS-Stammschlüssels für Schlüsselverteilungsdienste ausführen. Wenn bereits ein Schlüssel vorhanden ist, überspringen Sie diesen Schritt.
Führen Sie zum Erstellen eines gMSA den folgenden Befehl aus. Ersetzen Sie
<gMSAName>mit Ihrem gewünschten gMSA-Namen und<domain>mit dem Namen Ihrer Domäne. Ersetzen Sie<SecurityGroup>durch den Namen der Sicherheitsgruppen oder Computerkonten, die Zugriff auf das Kennwort des gMSA haben sollten.New-ADServiceAccount -Name <gMSAName> -DNSHostName <gMSAName>.<domain> -PrincipalsAllowedToRetrieveManagedPassword <SecurityGroup>Führen Sie den folgenden Befehl aus, um eine gMSA nur für die ausgehende Authentifizierung zu erstellen. Ersetzen Sie
<Days>durch einen numerischen Wert. Wenn kein Wert angegeben wird, wird er standardmäßig auf30Tage festgelegt.New-ADServiceAccount -Name <gMSAName> -DNSHostName <gMSAName>.<domain> -RestrictToOutboundAuthenticationOnly -ManagedPasswordIntervalInDays <Days> -PrincipalsAllowedToRetrieveManagedPassword <SecurityGroup>Von Bedeutung
Das Kennwortänderungsintervall kann nur während der Erstellung festgelegt werden. Wenn Sie das Intervall ändern möchten, müssen Sie ein neues gMSA erstellen und es zur Erstellungszeit festlegen.
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob das Zielgerät Zugriff auf das gMSA-Kennwort hat.
Test-ADServiceAccount -Identity <gMSAName>
Die Mitgliedschaft in der entsprechenden Sicherheitsgruppe oder das Vorhandensein der erforderlichen delegierten Berechtigungen zum Erstellen msDS-GroupManagedServiceAccount von Objekten ist erforderlich, um dieses Verfahren abzuschließen. Während Mitglieder von Kontooperatoren bestimmte Benutzer- und Gruppenobjekte in AD verwalten können, verfügen sie nicht über Standardrechte zum Erstellen von GMSAs, es sei denn, diese Berechtigungen werden an sie delegiert. Detaillierte Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.
Sie können die gMSA-Eigenschaften auch mithilfe des Set-ADServiceAccount Cmdlets aktualisieren. Um beispielsweise den Anzeigenamen des Computers zu aktualisieren, führen Sie den folgenden Befehl aus und ersetzen Sie dabei <gMSAName> und <NewDisplayName> mit Ihren Werten:
Set-ADServiceAccount -Identity "<gMSAName>" -DisplayName "<NewDisplayName>"
Ausführliche Informationen zum Festlegen anderer Eigenschaften für die gMSA finden Sie unter Set-ADServiceAccount.
Überprüfen Sie die Änderungen an einer gMSA
Nachdem Sie Änderungen an einer gMSA vorgenommen haben, können Sie überprüfen, ob die gMSA ordnungsgemäß aktualisiert wurde. Zu diesen Änderungen gehören das Hinzufügen, Entfernen und Deinstallieren eines gMSA. Sie können diesen Schritt auch jederzeit ausführen, wenn Aktualisierungen an den gMSA-Eigenschaften vorgenommen werden.
Führen Sie den folgenden Befehl aus, indem Sie <gMSAName> durch den Namen der von Ihnen erstellten gMSA ersetzen:
Get-ADServiceAccount -Identity "<gMSAName>" | Select-Object *
Host-Mitglieder zu einer Sicherheitsgruppe hinzufügen
Hinweis
Gruppenorientierte Verwaltung (
Add-ADGroupMember/Remove-ADGroupMember): Verwenden Sie diese Cmdlets, wenn Sie die Mitgliedschaft einer bestimmten Gruppe verwalten möchten. Sie eignen sich am besten zum effizienten Hinzufügen oder Entfernen mehrerer Benutzer, Computer oder anderer Objekte zu oder aus einer einzelnen Gruppe.Prinzipalorientierte Verwaltung (
Add-ADPrincipalGroupMembership/Remove-ADPrincipalGroupMembership): Wählen Sie diese Cmdlets aus, wenn Ihr Ziel darin besteht, die Mitgliedschaft eines bestimmten Benutzers oder Computers über mehrere Gruppen hinweg zu verwalten. Sie ermöglichen es Ihnen, einen Prinzipal aus mehreren Gruppen in einem einzigen Vorgang hinzuzufügen oder zu entfernen, sodass Gruppenzugehörigkeiten für einzelne Konten einfacher aktualisiert werden können.
Wenn Sie Sicherheitsgruppen zum Verwalten von Mitgliedshosts verwenden, fügen Sie das Computerkonto für den neuen Mitgliedshost zur Sicherheitsgruppe hinzu, die die GMSA-Mitgliedshosts enthält. Hierfür können Sie eine der folgenden Methoden verwenden:
Informationen zur Verwendung des Active Directory Users and Computers (ADUC)-Snap-Ins finden Sie unter Hinzufügen eines Computerkontos zu einer Gruppe und Verwalten von Benutzerkonten in Active Directory-Benutzern und -Computern.
Suchen Sie bei der Verwendung von Benutzerkonten nach vorhandenen Konten, und fügen Sie dann das neue Benutzerkonto hinzu.
Mitgliedshosts aus einer Sicherheitsgruppe entfernen
Informationen zum Verwenden des ADUC-Snap-Ins finden Sie unter "Löschen eines Computerkontos " und "Entfernen eines Benutzerkontos".
Deinstallieren Sie ein gMSA von Ihrem System.
Obwohl Sie GMSAs in ADUC nicht deinstallieren können, können Sie eine gMSA manuell löschen, indem Sie sie im Container "Verwaltete Dienstkonten " finden und wie jedes andere AD-Objekt löschen. Beachten Sie jedoch, dass dies nicht die gleichen Bereinigungsvorgänge ausführt, die durch Uninstall-ADServiceAccount in PowerShell erfolgen würden.
Um ein gMSA zu deinstallieren, öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten, und führen Sie die folgenden Schritte aus.
Um ein einzelnes gMSA aus Ihrer Umgebung zu entfernen, führen Sie den folgenden Befehl aus und ersetzen Sie dabei
<gMSAName>durch Ihren Wert.Uninstall-ADServiceAccount -Identity <gMSAName>Um mehrere gMSAs aus Ihrer Umgebung zu entfernen, führen Sie den folgenden Befehl aus, der von Ihren Werten ersetzt wird:
<gMSA#$>$gMSANames = @("gMSA1$", "gMSA2$", "gMSA3$") foreach ($gMSAs in $gMSANames) { Uninstall-ADServiceAccount -Identity $gMSAs }
Weitere Informationen zum Uninstall-ADServiceAccount Cmdlet finden Sie unter Uninstall-ADServiceAccount.