Introduzione agli account del servizio gestiti di gruppo
Questo articolo contiene informazioni su come abilitare e usare gli account del servizio gestito di gruppo (gMSA) in Windows Server.
I protocolli di autenticazione che supportano l'autenticazione reciproca, come Kerberos, non possono essere usati a meno che tutte le istanze dei servizi non usino la stessa entità. Ad esempio, quando un computer client si connette a un servizio che usa il bilanciamento del carico o un altro metodo in base al quale tutti i server sembrano essere lo stesso servizio per il client. Il che vuol dire che ogni servizio deve usare le stesse password o chiavi per dimostrare la propria identità. Gli account del servizio gestito di gruppo sono un tipo di account utilizzabile con più server. Un gMSA è un account di dominio che può essere usato per eseguire servizi in più server senza dover gestire la password. Il gMSA fornisce la gestione automatica delle password e la gestione semplificata del nome dell'entità servizio (service principal name, SPN) tra cui la delega della gestione ad altri amministratori.
Nota
I cluster di failover non supportano gli account del servizio gestiti di gruppo. Tuttavia, i servizi eseguiti sul servizio cluster possono usare un account del servizio gestito del gruppo o un account del servizi gestito (autonomo) se si tratta di un servizio Windows, di un pool di applicazioni, di un'attività pianificata o se supportano gli account del servizio gestito del gruppo o gli account del servizio gestiti (autonomi) a livello nativo.
I servizi possono scegliere l'entità da usare. Ogni tipo di entità supporta servizi diversi e presenta limitazioni diverse.
| Entità | Servizi supportati | Gestione delle password |
|---|---|---|
| Account computer del sistema Windows | Limitato a un server aggiunto al dominio | Gestite dal computer |
| Account computer senza sistema Windows | Qualsiasi server aggiunto al dominio | Nessuno |
| Account virtuale | Limitato a un server | Gestite dal computer |
| Account del servizio gestito autonomo di Windows | Limitato a un server aggiunto al dominio | Gestite dal computer |
| Account utente | Qualsiasi server aggiunto al dominio | Nessuno |
| Account del servizio gestito del gruppo | Qualsiasi server Windows Server aggiunto al dominio | Gestite dal controller di dominio e recuperate dall'host |
Non è possibile condividere tra più sistemi un account computer Windows, un account del servizio gestito autonomo (standalone Managed Service Account, sMSA) Windows o account virtuali. Quando si usano account virtuali, l'identità è anche locale per il computer e non riconosciuta dal dominio. Se si configura un account per i servizi da condividere in server farm, è necessario scegliere un account utente o un account computer diverso da quello del sistema Windows. In entrambi i casi, questi account sono privi della funzionalità di gestione delle password come singolo punto di controllo. Senza la gestione delle password, ogni organizzazione deve aggiornare le chiavi per il servizio in Active Directory e distribuirle a tutte le istanze dei servizi.
Quando si usano i gMSA, Windows Server evita ai servizi o agli amministratori dei servizi di gestire la sincronizzazione delle password tra istanze dei servizi. Dopo aver creato il gMSA in Active Directory, si configura il servizio che supporta gli account di servizio gestiti. L'uso dell'account del servizio gestito del gruppo è limitato a qualsiasi computer in grado di usare LDAP per recuperare le credenziali dell'account del servizio gestito del gruppo. È possibile creare un gMSA usando i cmdlet New-ADServiceAccount che fanno parte del modulo di Active Directory. I seguenti servizi supportano la configurazione dell'identità del servizio nell'host.
Le stesse API del sMSA, in modo tale che i prodotti che supportano il sMSA supportino anche il gMSA
Servizi che per configurare l'identità di accesso usano Gestione controllo servizi
Servizi che per la configurazione dell'identità da parte di pool di applicazioni usano Gestione IIS
Attività che usano l'Utilità di pianificazione.
Prerequisiti
Nella tabella seguente sono indicati i requisiti del sistema operativo per l'uso dell'autenticazione Kerberos con servizi che usano account del servizio gestiti del gruppo. I requisiti di Active Directory sono riportati in calce alla tabella.
Per eseguire i comandi di Windows PowerShell utilizzati per amministrare gMSA, è richiesta un'architettura a 64 bit.
Sistema operativo
| Elemento | Requisito |
|---|---|
| Host dell'applicazione client | Client Kerberos conforme a RFC |
| Controller del dominio dell'account utente | KDC conforme a RFC |
| Host membri del servizio condiviso | |
| Controller del dominio dell'host membro | KDC conforme a RFC |
| Controller di dominio dell'account del servizio gestito del gruppo | Controller di dominio Windows Server 2012 disponibili per il recupero della password da parte dell'host |
| Host del servizio back-end | Server applicazioni Kerberos conforme a RFC |
| Controller del dominio dell'account del servizio back-end | KDC conforme a RFC |
| Windows PowerShell per Active Directory | Strumenti di Amministrazione Remota del Server di Servizi di dominio Active Directory |
Active Directory Domain Services
Gli account del servizio gestito di gruppo presentano i seguenti requisiti in Active Directory Domain Services (AD DS).
Il livello funzionale della foresta e e del dominio di Active Directory devono essere Windows Server 2012 o versioni successive. Per altre informazioni sull'aggiornamento dello schema, vedere Come aumentare i livelli funzionali della foresta e del dominio di Active Directory.
Se si gestisce l'autorizzazione dell'host del servizio all'uso di un gMSA per gruppo, un gruppo di sicurezza nuovo o esistente.
Se si gestisce il controllo di accesso al servizio per gruppo, un gruppo di sicurezza nuovo o esistente.
La chiave radice del servizio distribuzione chiave (Key Distribution Services, KDS) per Active Directory deve essere creata nel dominio. Il risultato della creazione può essere verificato nel log operativo KdsSvc,
Event ID 4004. Per altre informazioni sulla creazione della chiave radice del KDS (kdssvc.dll), vedere Creare la chiave radice del servizio distribuzione chiave KDS.
Distribuire una nuova server farm
Il processo di creazione e gestione di una server farm in cui è usata la funzionalità gMSA prevede in genere le attività seguenti.
Distribuzione di una nuova server farm
Aggiunta di host membri a una server farm esistente
Rimozione di host membri da una server farm esistente
Rimozione di una server farm esistente
Rimozione di un host membro compromesso da una server farm, se necessario
Quando l'amministratore del servizio distribuisce una nuova server farm, deve determinare le seguenti informazioni.
Il servizio supporta l'uso di gMSA
Il servizio richiede connessioni autenticate in ingresso o in uscita
I nomi degli account computer per gli host membri del servizio che usa gli account del servizio gestiti del gruppo
Il nome NetBIOS del servizio
Il nome host DNS del servizio
I nomi dell'entità servizio (SPN) per il servizio
L'intervallo di modifica della password (per impostazione predefinita è di 30 giorni)
Creare account del servizio gestiti di gruppo
È possibile creare un gMSA solo se lo schema della foresta è Windows Server 2012 o versioni successive. È anche necessario distribuire la chiave radice del KDS per Active Directory e avere almeno un controller di dominio Windows Server 2012 o versioni successive nel dominio in cui si vuole creare un gMSA.
Importante
I nomi degli account gMSA devono essere univoci all'interno di un livello di foresta e non solo di dominio. Il tentativo di creare un account gMSA con un nome duplicato non andrà a buon fine, anche in domini diversi.
L'appartenenza ai gruppi Domain Admins o la capacità di creare oggetti msDS-GroupManagedServiceAccount sono i requisiti minimi per completare le procedure seguenti.
Per creare un gMSA usando PowerShell, seguire questa procedura.
Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi di Windows PowerShell, digitare i comandi seguenti e quindi premere INVIO. (Il modulo Active Directory viene caricato automaticamente).
New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]Nota
Un valore per il parametro
-Nameè sempre obbligatorio (che si specifichi-Nameo meno), con-DNSHostName,-RestrictToSingleComputere-RestrictToOutboundAuthenticationcome requisiti secondari per i tre scenari di distribuzione.Parametro Stringa Esempio Nome Nome dell'account ITFarm1 DNSHostName Nome host DNS del servizio ITFarm1.contoso.com KerberosEncryptionType Qualsiasi tipo di crittografia supportata dai server host Nessuno, RC4, AES128, AES256 ManagedPasswordIntervalInDays Intervallo di modifica della password espresso in giorni (se non è indicato, l'intervallo predefinito è di 30 giorni) 90 PrincipalsAllowedToRetrieveManagedPassword Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri ITFarmHosts SamAccountName Nome NetBIOS del servizio se diverso dal Nome ITFarm1 ServicePrincipalNames Nomi dell'entità servizio (SPN) per il servizio http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01 Importante
È possibile impostare l'intervallo di modifica della password solo in fase di creazione. Per modificare l'intervallo, è necessario creare un nuovo account del servizio gestito del gruppo e impostarlo al momento della creazione.
Ad esempio, usare il comando seguente per creare un nuovo gMSA denominato
ITFarm1per il gruppo. Il gMSA consente al servizio di usare i tipi di crittografia Kerberos RC4, AES128 e AES256. Il servizio è autorizzato a usare gli SPNhttp/ITFarm1.contoso.com/contoso.com,http/ITFarm1.contoso.com/contoso,http/ITFarm1/contoso.comehttp/ITFarm1/contoso.Immettere il comando su una singola riga, anche se le parole potrebbero tornare automaticamente a capo e quindi apparire su più righe a causa dei limiti di formattazione.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Per eseguire questa procedura, è necessaria almeno l'appartenenza ai gruppi Domain Admins, Account Operators o la possibilità di creare msDS-GroupManagedServiceAccount. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi di sicurezza di Active Directory.
Per creare un gMSA per l'autenticazione in uscita solo tramite PowerShell, seguire questa procedura.
Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi del Modulo di Active Directory per Windows PowerShell, usare il comando seguente.
New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]Nell'esempio viene creato un gMSA del gruppo usando i parametri riportati nella tabella seguente.
Parametro Stringa Esempio Nome Nome dell'account ITFarm1 ManagedPasswordIntervalInDays Intervallo di modifica della password espresso in giorni (se non è indicato, l'intervallo predefinito è di 30 giorni) 75 PrincipalsAllowedToRetrieveManagedPassword Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri ITFarmHosts Importante
È possibile impostare l'intervallo di modifica della password solo in fase di creazione. Per modificare l'intervallo, è necessario creare un nuovo account del servizio gestito del gruppo e impostarlo al momento della creazione.
Il comando di esempio usa questi parametri come segue.
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
Configurare il servizio applicazione identità del servizio
Per configurare i servizi in Windows Server, vedere i seguenti articoli:
L'account del servizio gestito del gruppo potrebbe essere supportato da altri servizi. Per altre informazioni sulle modalità di configurazione di tali servizi, vedere la relativa documentazione di prodotto.
Aggiungere host membri a una server farm esistente
Se nella gestione di host membri si usano gruppi di sicurezza, aggiungere al gruppo di sicurezza l'account computer del nuovo host membro (ossia il membro dell'account del servizio gestito del gruppo a cui appartengono gli host) tramite uno dei metodi seguenti.
Per eseguire queste procedure, è necessaria almeno l'appartenenza al gruppo Domain Adminso la possibilità di aggiungere membri all'oggetto gruppo di sicurezza.
Metodo 1: Utenti e computer di Active Directory
Per usare lo snap-in Utenti e computer di Active Directory, vedere Aggiungere un account computer a un gruppo e Gestire domini diversi nel Centro di amministrazione di Active Directory.
Metodo 2:
dsmodPer utilizzare la riga di comando, vedere Aggiungere un account computer a un gruppo.
Metodo 3: cmdlet di Active Directory per Windows PowerShell
Add-ADPrincipalGroupMembershipPer usare PowerShell, vedere Add-ADPrincipalGroupMembership.
Se si usano account computer, trovare gli account esistenti e aggiungere il nuovo account computer.
L'appartenenza ai gruppi Domain Admins, Account Operators o la possibilità di gestire oggetti msDS-GroupManagedServiceAccount sono il requisito minimo per completare questa procedura. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.
Aggiungere host membri con PowerShell
Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPasswordAl prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Nell'esempio seguente viene aggiunto un membro a una server farm usando i parametri riportati nella tabella.
| Parametro | Stringa | Esempio |
|---|---|---|
| Nome | Nome dell'account | ITFarm1 |
| PrincipalsAllowedToRetrieveManagedPassword | Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri | Host1, Host2, Host3 |
Nell'esempio seguente si ottengono i membri correnti della farm ITFarm1.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Nell'esempio seguente vengono aggiunti host membri a una server farm esistente ITFarm1.
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$
Aggiornare le proprietà del gMSA
Per eseguire queste procedure, è necessaria almeno l'appartenenza ai gruppi Domain Adminso Account Operatorso la possibilità di scrivere oggetti msDS-GroupManagedServiceAccount.
Aprire il modulo Active Directory per Windows PowerShell e impostare le proprietà con il cmdlet Set-ADServiceAccount.
Per altre informazioni su come impostare queste proprietà, vedere Set-ADServiceAccount nella libreria TechNet o digitare Get-Help Set-ADServiceAccount al prompt dei comandi del modulo Active Directory per Windows PowerShell e premere INVIO.
Rimuovere host membri da una server farm esistente
Per eseguire queste procedure, è necessaria almeno l'appartenenza al gruppo Domain Adminso la possibilità di rimuovere membri dall'oggetto gruppo di sicurezza.
Se nella gestione di host membri si usano gruppi di sicurezza, eliminare l'account computer dell'host membro da rimuovere dal gruppo di sicurezza a cui appartengono gli host membri dell'account del gMSA tramite uno dei metodi seguenti.
Metodo 1: Utenti e computer di Active Directory
Per usare lo snap-in Utenti e computer di Active Directory, vedere Eliminare un account computer e Gestire domini diversi nel Centro di amministrazione di Active Directory.
Metodo 2:
drsmPer usare la riga di comando, vedere Eliminare un account computer.
Metodo 3: cmdlet di Active Directory per Windows PowerShell
Remove-ADPrincipalGroupMembershipPer usare PowerShell, vedere Remove-ADPrincipalGroupMembership nella libreria TechNet oppure digitare
Get-Help Remove-ADPrincipalGroupMembershipil modulo Active Directory per il prompt dei comandi di Windows PowerShell e premere INVIO.
Nel caso di elenchi di account computer, recuperare gli account esistenti e aggiungerli tutti tranne l'account computer rimosso.
L'appartenenza ai gruppi Domain Admins, Account Operators o la possibilità di gestire oggetti msDS-GroupManagedServiceAccount sono il requisito minimo per completare questa procedura. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.
Rimuovere host membri usando PowerShell
Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPasswordAl prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Nell'esempio viene rimosso un membro da una server farm usando i parametri riportati nella tabella seguente.
| Parametro | Stringa | Esempio |
|---|---|---|
| Nome | Nome dell'account | ITFarm1 |
| PrincipalsAllowedToRetrieveManagedPassword | Gli account computer degli host membri o il gruppo di sicurezza a cui appartengono gli host membri | Host1, Host3 |
Nell'esempio seguente si ottengono i membri correnti della farm ITFarm1.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Nell'esempio seguente vengono rimossi gli host membri da una server farm esistente ITFarm1.
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$
Rimuovere un gMSA dal sistema
Rimuovere dall'host membro le credenziali dell'account del gMSA memorizzate nella cache usando Uninstall-ADServiceAccount o l'API NetRemoveServiceAccount nel sistema host.
Per completare queste procedure è necessaria almeno l'appartenenza al gruppo Administratorsoppure a un gruppo equivalente.
Rimuovere un gMSA usando PowerShell
Nel controller di dominio di Windows Server 2012 eseguire Windows PowerShell dalla barra delle applicazioni.
Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:
Uninstall-ADServiceAccount <ADServiceAccount>Nell'esempio seguente viene disinstallato un account del servizio gestito di Active Directory da un computer.
Uninstall-ADServiceAccount ITFarm1
Per altre informazioni sul cmdlet Uninstall-ADServiceAccount, al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare Get-Help Uninstall-ADServiceAccount e quindi premere INVIO o vedere la pagina del sito Web TechNet dedicata al cmdlet Uninstall-ADServiceAccount.