Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Ten artykuł dotyczy tylko programu MIM 2016 SP2.
Program Microsoft Identity Manger (MIM) współpracuje z domeną usługi Active Directory (AD). Usługa AD powinna już być zainstalowana i upewnij się, że masz kontroler domeny w środowisku dla domeny, którą możesz administrować. W tym artykule opisano sposób konfigurowania kont usług zarządzanych przez grupę w tej domenie do użycia przez program MIM.
Przegląd
Konta usług zarządzane przez grupę eliminują konieczność okresowego zmieniania haseł konta usługi. W wersji programu MIM 2016 SP2 następujące składniki programu MIM mogą mieć konta gMSA skonfigurowane do użycia podczas procesu instalacji:
- Usługa synchronizacji programu MIM (FIMSynchronizationService)
- Usługa MIM (FIMService)
- Pula aplikacji witryny internetowej rejestracji haseł programu MIM
- Pula aplikacji internetowej resetowania haseł MIM
- Pula aplikacji witryny internetowej PAM REST API
- Usługa monitorowania PAM (PamMonitoringService)
- Usługa składnika PAM (PrivilegeManagementComponentService)
Następujące składniki programu MIM nie obsługują uruchamiania jako konta gMSA:
- Portal programu MIM. Dzieje się tak, ponieważ portal programu MIM jest częścią środowiska programu SharePoint. Zamiast tego można wdrożyć program SharePoint w trybie farmy i Skonfigurować automatyczne zmienianie hasła w programie SharePoint Server.
- Wszyscy agenci zarządzania
- Zarządzanie certyfikatami firmy Microsoft
- BHOLD
Więcej informacji o gMSA można znaleźć w następujących artykułach:
Tworzenie kont użytkowników i grup
Wszystkie składniki wdrożenia programu MIM potrzebują własnych tożsamości w domenie. Obejmuje to składniki programu MIM, takie jak usługa i synchronizacja, a także programy SharePoint i SQL.
Uwaga
W tym przewodniku używane są przykładowe nazwy i wartości firmy o nazwie Contoso. Zastąp je własnymi. Na przykład:
- Nazwa kontrolera domeny — dc
- Nazwa domeny — contoso
- Nazwa serwera usługi programu MIM — mimservice
- Nazwa serwera synchronizacji programu MIM — mimsync
- Nazwa programu SQL Server — sql
- Hasło — Pass@word1
Zaloguj się do kontrolera domeny jako administrator domeny (np. Contoso\Administrator).
Utwórz następujące konta użytkowników dla usług MIM. Uruchom program PowerShell i wpisz następujący skrypt programu PowerShell, aby utworzyć nowych użytkowników domeny usługi AD (nie wszystkie konta są obowiązkowe, chociaż skrypt jest dostarczany tylko do celów informacyjnych, najlepszym rozwiązaniem jest użycie dedykowanego konta MIMAdmin dla programu MIM i procesu instalacji programu SharePoint).
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMAdmin –name MIMAdmin Set-ADAccountPassword –identity MIMAdmin –NewPassword $sp Set-ADUser –identity MIMAdmin –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName svcSharePoint –name svcSharePoint Set-ADAccountPassword –identity svcSharePoint –NewPassword $sp Set-ADUser –identity svcSharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName svcMIMSql –name svcMIMSql Set-ADAccountPassword –identity svcMIMSql –NewPassword $sp Set-ADUser –identity svcMIMSql –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName svcMIMAppPool –name svcMIMAppPool Set-ADAccountPassword –identity svcMIMAppPool –NewPassword $sp Set-ADUser –identity svcMIMAppPool –Enabled 1 -PasswordNeverExpires 1Utwórz grupy zabezpieczeń dla wszystkich grup.
New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator Add-ADGroupMember -identity MIMSyncAdmins -Members MIMAdminDodaj nazwy SPN, aby włączyć uwierzytelnianie Kerberos dla kont usługowych
setspn -S http/mim.contoso.com contoso\svcMIMAppPoolPamiętaj, aby zarejestrować następujące rekordy DNS "A" w celu prawidłowej rozdzielczości nazw (przy założeniu, że usługa MIM, portal MIM, resetowanie haseł oraz rejestracja haseł będą hostowane na tej samej maszynie)
- mim.contoso.com — wskaż fizyczny adres IP usługi MIM i serwera portalu
- passwordreset.contoso.com — wskaż fizyczny adres IP usługi MIM i serwera portalu
- passwordregistration.contoso.com — wskaż fizyczny adres IP usługi MIM i serwera portalu
Tworzenie klucza głównego usługi dystrybucji kluczy
Upewnij się, że jesteś zalogowany do kontrolera domeny jako administrator, aby przygotować usługę dystrybucji kluczy grupowych.
Jeśli istnieje już klucz główny dla domeny (użyj Get-KdsRootKey do sprawdzenia), a następnie przejdź do następnej sekcji.
W razie potrzeby utwórz klucz główny usług dystrybucji kluczy (KDS) (tylko raz na domenę). Klucz główny jest używany przez usługę KDS na kontrolerach domeny (wraz z innymi informacjami) do generowania haseł. Jako administrator domeny wpisz następujące polecenie programu PowerShell:
Add-KDSRootKey –EffectiveImmediately– EffectiveImmediately może wymagać opóźnienia do maksymalnie ~10 godzin, ponieważ konieczna będzie replikacja do wszystkich kontrolerów domeny. To opóźnienie wynosiło około 1 godziny dla dwóch kontrolerów domeny.
zrzut ekranu
Uwaga
W środowisku laboratoryjnym lub testowym można uniknąć 10-godzinnego opóźnienia replikacji, uruchamiając następujące polecenie:
Add-KDSRootKey -EffectiveTime ((Get-Date).AddHours(-10))
Tworzenie konta usługi synchronizacji programu MIM, grupy i jednostki usługi
Upewnij się, że wszystkie konta komputerów, na których ma być zainstalowane oprogramowanie MIM, są już przyłączone do domeny. Następnie wykonaj te kroki w programie PowerShell jako administrator domeny.
Utwórz grupę MIMSync_Servers i dodaj wszystkie serwery synchronizacji programu MIM do tej grupy. Wpisz poniższe, aby utworzyć nową grupę AD dla serwerów synchronizacji programu MIM. Następnie dodaj konta komputerów serwera synchronizacji programu MIM usługi Active Directory, np. contoso\MIMSync$, do tej grupy.
New-ADGroup –name MIMSync_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMSync_Servers Add-ADGroupmember -identity MIMSync_Servers -Members MIMSync$Utwórz usługę synchronizacji MIM gMSA. Wpisz następujący program PowerShell.
New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"Sprawdź szczegóły narzędzia GSMA utworzonego przez wykonanie get-ADServiceAccount polecenia programu PowerShell:
zrzut ekranu uruchamianego polecenia programu PowerShell
Jeśli planujesz uruchomić usługę powiadamiania o zmianie hasła, musisz zarejestrować nazwę główną usługi, wykonując następujące polecenie programu PowerShell:
Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}Uruchom ponownie serwer synchronizacji programu MIM, aby odświeżyć token Protokołu Kerberos skojarzony z serwerem, ponieważ członkostwo grupy "MIMSync_Server" uległo zmianie.
Tworzenie konta usługi agenta zarządzania usługami programu MIM
- Zazwyczaj podczas instalowania usługi MIM utworzysz nowe konto dla agenta zarządzania usługami programu MIM (mim MA). W przypadku usługi gMSA dostępne są dwie opcje:
Użyj konta usługi zarządzanego przez grupę usług synchronizacji programu MIM i nie twórz oddzielnego konta
Możesz pominąć tworzenie konta usługi agenta zarządzania usługami programu MIM. W takim przypadku użyj nazwy gMSA usługi synchronizacji programu MIM, np. contoso\MIMSyncGMSAsvc$, zamiast konta MIM MA podczas instalowania usługi MIM. W dalszej części konfiguracji agenta zarządzania usługami MIM włącz opcję „Użyj konta MIMSync”.
Nie należy włączać opcji "Odmów logowania z sieci" dla usługi synchronizacji MIM gMSA, ponieważ konto MIM MA wymaga uprawnienia "Zezwalaj na logowanie sieciowe".
Użyj zwykłego konta usługi dla konta usługi agenta zarządzania usługami programu MIM
Uruchom program PowerShell jako administrator domeny i wpisz następujące polecenie, aby utworzyć nowego użytkownika domeny usługi AD:
$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName svcMIMMA –name svcMIMMA Set-ADAccountPassword –identity svcMIMMA –NewPassword $sp Set-ADUser –identity svcMIMMA –Enabled 1 –PasswordNeverExpires 1Nie włączaj opcji "Odmów logowania z sieci" dla konta programu MIM MA, ponieważ wymaga uprawnienia "Zezwalaj na logowanie sieciowe".
Utwórz konta usług MIM, grupy i główną jednostkę usługi
Kontynuuj korzystanie z programu PowerShell jako administrator domeny.
Utwórz grupę MIMService_Servers i dodaj wszystkie serwery usługi MIM do tej grupy. Wpisz następujące polecenie PowerShell, aby utworzyć nową grupę AD dla serwerów usługi MIM i dodać konto komputera serwera MIM w Active Directory, np. contoso\MIMPortal$, do tej grupy.
New-ADGroup –name MIMService_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMService_Servers Add-ADGroupMember -identity MIMService_Servers -Members MIMPortal$Utwórz usługę MIM Service gMSA.
New-ADServiceAccount -Name MIMSrvGMSAsvc -DNSHostName MIMSrvGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMService_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='FIMService/mimportal.contoso.com'}Zarejestruj nazwę główną usługi i włącz delegowanie protokołu Kerberos, wykonując następujące polecenie programu PowerShell:
Set-ADServiceAccount -Identity MIMSrvGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="FIMService/mimportal.contoso.com"}W przypadku scenariuszy samoobsługowego resetowania hasła wymagane jest, aby konto usługi MIM mogło komunikować się z usługą synchronizacji programu MIM. Dlatego konto usługi MIM musi być członkiem grupy MIMSyncAdministrators lub grup MIM Sync Password Reset i Browse.
Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMSrvGMSAsvc$ Add-ADGroupmember -identity MIMSyncBrowse -Members MIMSrvGMSAsvc$Uruchom ponownie serwer usługi MIM, aby odświeżyć token Protokołu Kerberos skojarzony z serwerem, ponieważ członkostwo w grupie "MIMService_Servers" uległo zmianie.
Tworzenie innych kont i grup programu MIM w razie potrzeby
Jeśli konfigurujesz samoobsługowe resetowanie hasła programu MIM, to postępując zgodnie z tymi samymi wytycznymi, co opisano powyżej w przypadku usługi synchronizacji programu MIM i usługi MIM, możesz utworzyć inny gMSA dla:
- Pula aplikacji sieci Web resetowania haseł programu MIM
- Pula aplikacji rejestracji hasła MIM w sieci Web
Jeśli konfigurujesz usługę PAM programu MIM, postępuj zgodnie z tymi samymi wytycznymi, jak opisano powyżej dla usługi synchronizacji programu MIM i usługi MIM. Możesz utworzyć inne gMSA dla:
- Pula aplikacji internetowych interfejsu API REST usługi PAM programu MIM
- Usługa składnika PAM programu MIM
- Usługa monitorowania PAM w programie MIM
Określanie zarządzanego konta usługowego (gMSA) podczas instalowania programu MIM
Ogólnie rzecz biorąc, w większości przypadków podczas korzystania z instalatora programu MIM, aby określić, że chcesz użyć konta zarządzanego zamiast zwykłego konta, dołącz znak dolara do nazwy gMSA, np. contoso\MIMSyncGMSAsvc$i pozostaw puste pole hasła. Jednym wyjątkiem jest narzędzie miisactivate.exe, które akceptuje nazwę gMSA bez znaku dolara.