Configurar um domínio para o cenário de Contas de Serviço Gerenciado de Grupo (gMSA)

Importante

Este artigo aplica-se apenas ao MIM 2016 SP3.

O Microsoft Identity Manger (MIM) funciona com o seu domínio do Ative Directory (AD). Deverias já ter o AD instalado e certifica-te de que tens um controlador de domínio no teu ambiente para um domínio que possas administrar. Este artigo descreve como configurar contas de serviço gerenciado de grupo nesse domínio para uso pelo MIM.

Visão geral

As Contas de Serviço Gerenciado de Grupo eliminam a necessidade de alterar periodicamente as senhas das contas de serviço. Com o lançamento do MIM 2016 SP3, os seguintes componentes MIM podem ter contas gMSA configuradas para serem usadas durante o processo de instalação:

Serviço de sincronização do MIM (FIMSynchronizationService)
Serviço MIM (FIMService)
Pool de aplicativos do site de Registro de Senha do MIM
Pool de Aplicações Web do MIM Password Reset
Pool de aplicações do website da API REST PAM
Serviço de Monitoramento PAM (PamMonitoringService)
Serviço de componente PAM (PrivilegeManagementComponentService)

Os seguintes componentes MIM não suportam a execução como contas gMSA:

Portal MIM. Isso ocorre porque o Portal MIM faz parte do ambiente do SharePoint. Em vez disso, você pode implantar o SharePoint no modo de farm e Configurar alteração automática de senha no SharePoint Server.
Todos os Agentes de Gestão
Gerenciamento de Certificados Microsoft
BHOLD

Mais informações sobre o gMSA podem ser encontradas nestes artigos:

Visão geral das contas de serviço geridas por grupo
Novo-ContaDeServiçoAD
Criar a chave raiz do KDS dos Serviços de Distribuição de Chaves

Criar contas de usuário e grupos

Todos os componentes da implantação do MIM precisam de suas próprias identidades no domínio. Isso inclui os componentes do MIM, como Service e Sync, bem como SharePoint e SQL.

Observação

Este passo a passo usa nomes e valores de exemplo de uma empresa chamada Contoso. Substitua-os pelos seus. Por exemplo:

Nome do controlador de domínio - dc
Nome de domínio - contoso
Nome do servidor de serviço MIM - mimservice
Nome do Servidor de Sincronização do MIM - mimsync
Nome do SQL Server - SQL
Palavra-passe - Pass@word1

Entre no controlador de domínio como administrador de domínio (exemplo, Contoso\Administrator).

Crie as seguintes contas de usuário para serviços MIM. Inicie o PowerShell e escreva o seguinte script PowerShell para criar novos utilizadores do domínio AD (nem todas as contas são obrigatórias, embora o script seja fornecido apenas para fins informativos, é uma boa prática usar uma conta MIMAdmin dedicada para o MIM e o processo de instalação do SharePoint).

import-module activedirectory
$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName MIMAdmin –name MIMAdmin
Set-ADAccountPassword –identity MIMAdmin –NewPassword $sp
Set-ADUser –identity MIMAdmin –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName svcSharePoint –name svcSharePoint
Set-ADAccountPassword –identity svcSharePoint –NewPassword $sp
Set-ADUser –identity svcSharePoint –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName svcMIMSql –name svcMIMSql
Set-ADAccountPassword –identity svcMIMSql –NewPassword $sp
Set-ADUser –identity svcMIMSql –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName svcMIMAppPool –name svcMIMAppPool
Set-ADAccountPassword –identity svcMIMAppPool –NewPassword $sp
Set-ADUser –identity svcMIMAppPool –Enabled 1 -PasswordNeverExpires 1

Crie grupos de segurança para todos os grupos.

New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators
New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet
Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
Add-ADGroupMember -identity MIMSyncAdmins -Members MIMAdmin

Adicionar SPNs para habilitar a autenticação Kerberos para contas de serviço
```
setspn -S http/mim.contoso.com contoso\svcMIMAppPool
```
Certifique-se de registar os seguintes registos DNS 'A' para uma resolução correta do nome (assumindo que os sites do Serviço MIM, Portal MIM, Redefinição de Palavra-Passe e Registo de Palavras-Passe estejam alojados na mesma máquina)
- mim.contoso.com - aponte para o Serviço MIM e para o endereço IP físico do servidor do Portal
- passwordreset.contoso.com - aponte para o endereço IP físico do servidor do Serviço MIM e do Portal
- passwordregistration.contoso.com - aponte para o endereço IP físico do servidor do Serviço MIM e do Portal

Criar chave raiz do serviço de distribuição de chaves

Certifique-se de que está ligado ao seu controlador de domínio como administrador para preparar o serviço de distribuição de chaves de grupo.

Se já existir uma chave raiz para o domínio (use Get-KdsRootKey para verificar), continue para a secção seguinte.

Crie a chave raiz dos Serviços de Distribuição de Chaves (KDS) (apenas uma vez por domínio), se necessário. A Chave Raiz é usada pelo serviço KDS em controladores de domínio (juntamente com outras informações) para gerar senhas. Como administrador de domínio, digite o seguinte comando do PowerShell:
```
Add-KDSRootKey –EffectiveImmediately
```
–EffectiveImmediately pode exigir um atraso de até ~10 horas, pois precisará ser replicado para todos os controladores de domínio. Esse atraso foi de aproximadamente 1 hora para dois controladores de domínio.

Observação

No ambiente de laboratório ou teste, você pode evitar um atraso de replicação de 10 horas executando o seguinte comando:
Add-KDSRootKey -EffectiveTime (Get-Date). AddHours(-10))

Criar conta de Serviço de Sincronização MIM, grupo e principal de serviço

Certifique-se de que todas as contas de computador dos computadores onde o software MIM será instalado já estão associadas ao domínio. Em seguida, execute estas etapas no PowerShell como administrador de domínio.

Crie um grupo MIMSync_Servers e adicione todos os servidores de Sincronização do MIM a este grupo. Digite o seguinte para criar um novo grupo do AD para Servidores de Sincronização do MIM. Depois, adicionam contas de computador do servidor de sincronização MIM no Active Directory, por exemplo, contoso\MIMSync$, neste grupo.
```
New-ADGroup –name MIMSync_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMSync_Servers
Add-ADGroupmember -identity MIMSync_Servers -Members MIMSync$
```
Crie o Serviço de Sincronização do MIM gMSA. Digite o seguinte PowerShell.
```
New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"
```
Verifique os detalhes do GSMA criado executando comando Get-ADServiceAccount PowerShell:
Se você planeja executar o Serviço de Notificação de Alteração de Senha, precisará registrar o Nome da Entidade de Serviço executando este comando do PowerShell:
```
Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}
```
Reinicialize o servidor de Sincronização do MIM para atualizar um token Kerberos associado ao servidor, pois a associação ao grupo "MIMSync_Server" foi alterada.

Criar conta de serviço do Agente de Gerenciamento de Serviços do MIM

Normalmente, ao instalar o MIM Service, cria uma nova conta para o Agente de Gestão de Serviços MIM (conta MIM MA). Com o gMSA, há duas opções disponíveis:

Use a conta de serviço gerido do grupo MIM Synchronization Service e não crie uma conta separada

Você pode ignorar a criação da conta de serviço do MIM Service Management Agent. Neste caso, use o nome gMSA do Serviço de Sincronização MIM, por exemplo, contoso\MIMSyncGMSAsvc$, em vez da conta MIM MA ao instalar o Serviço MIM. Mais tarde, na configuração do MIM Service Management Agent, ative a opção 'Usar conta MIMSync'.

Não ative 'Negar Início de Sessão na Rede' para o gMSA do Serviço de Sincronização MIM, uma vez que a conta MIM MA requer a permissão 'Permitir Início de Sessão na Rede'.
Usar uma conta de serviço regular para a conta de serviço do MIM Service Management Agent

Inicie o PowerShell como administrador de domínio e digite o seguinte para criar um novo usuário de domínio do AD:
```
$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName svcMIMMA –name svcMIMMA
Set-ADAccountPassword –identity svcMIMMA –NewPassword $sp
Set-ADUser –identity svcMIMMA –Enabled 1 –PasswordNeverExpires 1
```
Não ative 'Negar Início de Sessão da Rede' para a conta MIM MA, pois requer a permissão 'Permitir Início de Sessão na Rede'.

Criar contas de serviço MIM, grupos e principal de serviço

Continue usando o PowerShell como administrador de domínio.

Crie um grupo MIMService_Servers e adicione todos os servidores do Serviço MIM a esse grupo. Escreva o seguinte PowerShell para criar um novo grupo AD para servidores de Serviço MIM e adicionar a conta de computador Active Directory do servidor de Serviço MIM, por exemplo, contoso\MIMPortal$, a este grupo.
```
New-ADGroup –name MIMService_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMService_Servers
Add-ADGroupMember -identity MIMService_Servers -Members MIMPortal$
```

Crie o Serviço MIM gMSA.

New-ADServiceAccount -Name MIMSrvGMSAsvc -DNSHostName MIMSrvGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMService_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='FIMService/mimportal.contoso.com'}

Registe o Nome da Entidade de Serviço e ative a delegação Kerberos executando este comando do PowerShell:

Set-ADServiceAccount -Identity MIMSrvGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="FIMService/mimportal.contoso.com"}

Para cenários de SSPR, é necessário que a Conta de Serviço MIM consiga comunicar-se com o Serviço de Sincronização do MIM, portanto, a Conta de Serviço MIM deve ser membro dos grupos MIMSyncAdministrators ou MIMSyncPasswordResetAndBrowse.
```
Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMSrvGMSAsvc$ 
Add-ADGroupmember -identity MIMSyncBrowse -Members MIMSrvGMSAsvc$ 
```
Reinicialize o servidor do Serviço MIM para atualizar um token Kerberos associado ao servidor, pois a associação ao grupo "MIMService_Servers" foi alterada.

Crie outras contas e grupos do MIM, se necessário

Se estiver a configurar MIM SSPR, seguindo as mesmas diretrizes descritas acima para o MIM Synchronization Service e MIM Service, pode criar outro gMSA para:

Pool de Aplicações Web do MIM Password Reset
Pool de aplicativos do site de Registro de Senha do MIM

Se estiver a configurar o MIM PAM, ao seguir as mesmas diretrizes descritas acima para o MIM Synchronization Service e o MIM Service, poderá criar outros gMSA para:

Pool de aplicações do site MIM PAM REST API
Serviço de componente MIM PAM
Serviço de monitoramento MIM PAM

Especificando um gMSA ao instalar o MIM

Como regra geral, na maioria dos casos, ao usar um instalador MIM, para especificar que quer usar um gMSA em vez de uma conta normal, adicione um símbolo de dólar ao nome do gMSA, por exemplo, contoso\MIMSyncGMSAsvc$, e deixe o campo de palavra-passe vazio. Uma exceção é a ferramenta miisactivate.exe que aceita o nome gMSA sem o cifrão.

Windows Server »

Comentários

Esta página foi útil?

Last updated on 2026-04-22