gMSA - マイクロソフト系技術情報 Wiki

[ トップ ] [ 編集 | 凍結 | 差分 | バックアップ | 添付 | リロード ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

最新の70件

2019-02-18

CIBA(Client Initiated Backchannel Authentication)

2019-02-16

2019-02-13

2019-02-12

2019-02-09

IEバージョンアップ情報

2019-02-08

2019-02-06

2019-02-05

2019-02-04

2019-01-31

2019-01-30

2019-01-28

2019-01-26

OpenID / OAuth / OpenID Connect

2019-01-25

Windowを前面に出す

2019-01-23

2019-01-18

2019-01-17

2019-01-16

FIDO2

2019-01-15

Dapper
WSUS

2019-01-11

CWT

2019-01-05

Windows Subsystem for Linux

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
MSAとgMSAの違いは
- そもそもMSAとは
- gMSAでの拡張
設定方法
- 設定例
参考

概要 †

グループの管理されたサービスアカウント
gMSA:Group Managed Service Accounts

ドメインアカウントとして分離できるように設計された。
SPNや資格情報を手動で管理する必要がなくなる。
- グループ管理サービスアカウント
  http://azuread.net/2013/09/12/%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E7%AE%A1%E7%90%86%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88/
  Active Directoryに登録されたユーザーのパスワードは変更されたけど、サービスに登録されたユーザーのパスワードは変更されない」という問題

複数のサーバーで利用でき、利用できるサーバーを限定できる。
主に、ADFSやNLBなどのサーバファームのサービスアカウントとして便利に使用する。
- グループの管理されたサービスアカウントの概要
  http://technet.microsoft.com/ja-jp/library/jj128431.aspx
  ネットワーク負荷分散 (NLB) (またはすべてのサーバーがクライアントに対して同じサービスを提供している) などの方式を使用しているサーバーファームにホストされたサービスにクライアントコンピューターが接続するときに、サービスのすべてのインスタンスが同じプリンシパルを使用していない場合は、相互認証 (Kerberosなど) をサポートする認証プロトコルを使用することはできません。つまり、各サービスは同じパスワード/キーを使用して ID を証明する必要があります。

SPNとあるが、
- サーバファームの相互認証 (Kerberosなど)のサポート簡素化が目的で、
- 「委任」・「制約付き委任」等には関係がない模様。

MSAとgMSAの違いは †

そもそもMSAとは †

管理されたサービスアカウント
MSA:Managed Service Accounts

Windows 7 および Windows Server 2008 R2 以降でサポートされた、
- 「仮想アカウント」
- 「管理されたサービスアカウント」

Windows 7 および Windows Server 2008 R2 向けの
管理されたサービスアカウントのドキュメント
https://technet.microsoft.com/ja-jp/library/ff641731.aspx
アカウントを各自のドメインアカウントとして分離できるように設計されたものです。
管理者にとっては、サービスプリンシパル名 (SPN) とこれらのアカウントの資格情報を手動で管理する必要がなくなります。

gMSAでの拡張 †

Blogs - フィールドSEあがりの安納です - Site Home - TechNet? Blogs
http://blogs.technet.com/b/junichia/archive/2013/10/16/3602856.aspx

MSA
- 複数のコンピューターで共有できない
- MSAはアプリケーションレベルでサポートされる
- タスクスケジューラーで使用できない

gMSA
- 複数のコンピューターで共有できる
- タスクスケジューラーで使用できる

設定方法 †

以下を参照してください。

設定例 †

インフラ系の方達が、さっそく情報を公開しています。

グループ管理サービスアカウント
http://azuread.net/2013/09/12/%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E7%AE%A1%E7%90%86%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88/

gMSA を使用して SQL Server をインストール at SE の雑記
http://blog.engineer-memo.com/2014/02/09/gmsa-%E3%82%92%E4%BD%BF%E7%94%A8%E3%81%97%E3%81%A6-sql-server-%E3%82%92%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB/

Windows Server 2012 R2 の AD FS 用のラボ環境をセットアップする
http://technet.microsoft.com/ja-jp/library/dn280939.aspx

参考 †

Windows 7 および Windows Server 2008 R2 向けの
管理されたサービスアカウントのドキュメント
http://technet.microsoft.com/ja-jp/library/ff641731.aspx
- 管理されたサービスアカウントに関してよく寄せられる質問 (FAQ)
  http://technet.microsoft.com/ja-jp/library/ff641729.aspx
- サービスアカウントのステップバイステップガイド
  http://technet.microsoft.com/ja-jp/library/dd548356.aspx

グループの管理されたサービスアカウントの概要
http://technet.microsoft.com/ja-jp/library/hh831782.aspx
- 管理されたサービスアカウントの新機能
  http://technet.microsoft.com/ja-jp/library/hh831451.aspx
- グループの管理されたサービスアカウントの概要
  http://technet.microsoft.com/ja-jp/library/jj128431.aspx

Tags: :セキュリティ, :アカウント, :Windows, Active Directory

Last-modified: 2017-03-27 (月) 13:37:48 (693d)