マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

グループの管理されたサービスアカウント
gMSA:Group Managed Service Accounts

  • 複数のサーバーで利用でき、利用できるサーバーを限定できる。
  • 主に、ADFSやNLBなどのサーバファームのサービスアカウントとして便利に使用する。
    • グループの管理されたサービス アカウントの概要
      http://technet.microsoft.com/ja-jp/library/jj128431.aspx

      ネットワーク負荷分散 (NLB) (またはすべてのサーバーがクライアントに対して同じサービスを提供している) などの方式を使用しているサーバー ファームにホストされたサービスにクライアント コンピューターが接続するときに、サービスのすべてのインスタンスが同じプリンシパルを使用していない場合は、相互認証 (Kerberosなど) をサポートする認証プロトコルを使用することはできません。つまり、各サービスは同じパスワード/キーを使用して ID を証明する必要があります。

  • SPNとあるが、
    • サーバファームの相互認証 (Kerberosなど)のサポート簡素化が目的で、
    • 委任」・「制約付き委任」等には関係がない模様。

MSAとgMSAの違いは

そもそもMSAとは

管理されたサービスアカウント
MSA:Managed Service Accounts

  • Windows 7 および Windows Server 2008 R2 以降でサポートされた、
  • Windows 7 および Windows Server 2008 R2 向けの
    管理されたサービス アカウントのドキュメント
    https://technet.microsoft.com/ja-jp/library/ff641731.aspx

    アカウントを各自のドメイン アカウントとして分離できるように設計されたものです。
    管理者にとっては、サービス プリンシパル名 (SPN) とこれらのアカウントの資格情報を手動で管理する必要がなくなります。

gMSAでの拡張

  • MSA
    • 複数のコンピューターで共有できない
    • MSAはアプリケーションレベルでサポートされる
    • タスクスケジューラーで使用できない
  • gMSA
    • 複数のコンピューターで共有できる
    • タスクスケジューラーで使用できる

設定方法

以下を参照してください。

設定例

インフラ系の方達が、さっそく情報を公開しています。

参考


Tags: :セキュリティ, :アカウント, :Windows, Active Directory


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-03-27 (月) 13:37:48 (630d)