Visão geral das Contas de Serviço Gerenciado de grupo
Aplica-se a: Windows Server 2012 R2, Windows Server 2012
Este tópico para o profissional de TI apresenta a Conta de Serviços Gerenciados de grupo, descrevendo aplicações práticas, alterações nos requisitos de hardware, software e implantação da Microsoft, além de recursos adicionais para o Windows Server 2012.
Você quis dizer…
Contas de Serviços Gerenciados (autônomas)
Descrição do recurso
Contas de Serviços Gerenciados autônomas, que foram introduzidas no Windows Server 2008 R2 e no Windows 7, são contas de domínio gerenciadas que fornecem gerenciamento automático de senhas e gerenciamento simplificado de SPN, incluindo a delegação do gerenciamento para outros administradores.
A Conta de Serviço Gerenciado de grupo fornece a mesma funcionalidade dentro do domínio, mas também estende essa funcionalidade por vários servidores. Ao se conectarem a um serviço hospedado em um farm de servidores, como o Balanceamento de Carga de Rede, os protocolos de autenticação que oferecem suporte para autenticação mútua exigem que todas as instâncias dos serviços usem a mesma entidade de segurança. Quando Contas de Serviços Gerenciados de grupo são usadas como entidades de segurança de serviços, o sistema operacional Windows gerencia a senha da conta em vez de depender do administrador para esse gerenciamento.
O Serviço de Distribuição de Chaves da Microsoft (kdssvc.dll) fornece o mecanismo para obter de forma segura a chave mais recente ou uma chave específica com um identificador de chave para uma conta do Active Directory. Esse serviço é novo no Windows Server 2012 e não pode ser executado em versões anteriores do sistema operacional Windows Server. O Serviço de Distribuição de Chaves compartilha um segredo que é usado para criar chaves para a conta. Essas chaves são alteradas periodicamente. Para uma Conta de Serviços Gerenciados, o controlador de domínio do Windows Server 2012 calcula a senha na chave fornecida pelos Serviços de Distribuição de Chaves, bem como outros atributos da Conta de Serviços Gerenciados de grupo. Hosts membros do Windows Server 2012 e do Windows 8 podem obter os valores de senha atuais e precedentes entrando em contato com um controlador de domínio do Windows Server 2012.
Aplicações práticas
Contas de Serviços Gerenciados de grupo fornecem uma solução de identidade única para serviços executados em um farm de servidores ou em sistemas por trás do Balanceamento de Carga de Rede. Ao fornecer uma solução de MSA de grupo, os serviços podem ser configurados para a nova entidade MSA de grupo, e o gerenciamento de senhas é tratado pelo Windows.
Usando uma Conta de Serviços Gerenciados de grupo, os serviços ou administradores de serviços não precisam gerenciar a sincronização de senhas entre instâncias de serviços. A Conta de Serviços Gerenciados de grupo fornece suporte para hosts que são mantidos offline por um período de tempo extenso, e para o gerenciamento de hosts membros para todas as instâncias de um serviço. Isso significa que você pode implantar um farm de servidores que fornece suporte para uma única identidade na qual os computadores clientes atuais podem se autenticar sem saberem a qual instância do serviço eles estão se conectando.
Os clusters de failover não dão suporte a gMSAs. No entanto, os serviços que são executados sobre o Serviço de cluster poderão usar uma gMSA ou uma sMSA, se forem um serviço Windows, um pool de aplicativos, uma tarefa agendada ou oferecerem suporte nativo a gMSA ou sMSA.
Funcionalidade nova e alterada
A tabela a seguir apresenta as alterações no recurso de MSA.
Recurso/funcionalidade |
Windows Server 2008 R2 |
Windows Server 2012 |
|---|---|---|
Contas de Computador Virtual |
X |
X |
Contas de Serviço Gerenciado |
X |
X |
Contas de Serviço Gerenciado de grupo |
X |
|
Cmdlets do Windows PowerShell |
X |
X |
Para saber mais sobre essas alterações de funcionalidade da MSA, consulte Novidades para Contas de Serviço Gerenciado.
Funcionalidade preterida
Para o Windows Server 2012, os cmdlets do Windows PowerShell assumem como padrão o gerenciamento das Contas de Serviços Gerenciados de grupo em vez das Contas de Serviços Gerenciados autônomas originais.
Requisitos de software
Contas de Serviços Gerenciados (e Contas de Computadores Virtuais) se aplicam tanto ao Windows Server 2008 R2 quanto ao Windows Server 2012. Contas de Serviços Gerenciados de grupo só podem ser configuradas e administradas em computadores que executam o Windows Server 2012, mas podem ser implantadas como uma solução de identidade de serviço única em domínios que ainda possuem alguns controladores de domínio que executam sistemas operacionais anteriores ao Windows Server 2012. Não existem domínios em nível funcional para domínios ou florestas.
Uma arquitetura de 64 bits é exigida para executar os comandos do Windows PowerShell, que são usados para administrar as contas de serviço gerenciado de grupo.
Uma conta de serviços gerenciados depende de tipos de criptografia Kerberos com suporte. Quando um computador cliente se autentica em um servidor usando Kerberos, o controlador de domínio cria um ticket de serviço Kerberos protegido com uma criptografia que é compatível tanto nesse controlador quanto no servidor. O controlador de domínio usa o atributo msDS-SupportedEncryptionTypes da conta para determinar a criptografia com suporte pelo servidor e, senão houver uma tributo, ele partirá do princípio de que o computador cliente não oferece suporte para tipos de criptografia mais fortes. Se o host do Windows Server 2012 estiver configurado para não dar suporte ao RC4, a autenticação sempre irá falhar. Por esse motivo, o AES sempre deve ser configurado explicitamente para contas de serviços gerenciados.
Dica
A partir do Windows Server 2008 R2, o DES fica desabilitado por padrão. Para obter mais informações sobre os tipos de criptografia com suporte, consulte Alterações da autenticação do Kerberos.
Contas de Serviços Gerenciados de grupo não são aplicáveis a sistemas operacionais anteriores ao Windows Server 2012.
Informações sobre o Gerenciador do Servidor
Não há etapas de configuração necessárias para implementar contas de serviços gerenciados e contas de serviços gerenciados de grupo usando o Gerenciador do Servidor ou o cmdlet Install-WindowsFeature.
Consulte também
A tabela a seguir fornece links para recursos adicionais relacionados às Contas de Serviço Gerenciado e Contas de Serviço Gerenciado de grupo.
Tipo de conteúdo |
Referências |
|---|---|
Avaliação do produto |
Novidades para Contas de Serviço Gerenciado Documentação de Contas de Serviço Gerenciado para Windows 7 e Windows Server 2008 R2 |
Planejamento |
Não disponível ainda |
Implantação |
Não disponível ainda |
Operações |
|
Solução de problemas |
Não disponível ainda |
Avaliação |
|
Ferramentas e configurações |
Contas de Serviço Gerenciado nos Serviços de Domínio Active Directory |
Recursos da comunidade |
|
Tecnologias relacionadas |