gMSA のバックアップの現在との差分(No.4) - マイクロソフト系技術情報 Wiki

バックアップ一覧
差分を表示
ソースを表示
バックアップを表示
gMSA へ行く。
- 1 (2015-08-12 (水) 18:39:10)
- 2 (2015-08-12 (水) 19:17:48)
- 3 (2016-01-26 (火) 13:50:30)
- 4 (2016-04-14 (木) 20:03:18)
- 5 (2017-01-12 (木) 14:27:21)
- 6 (2017-03-12 (日) 15:13:53)
- 7 (2017-03-27 (月) 13:37:48)
- 8 (2020-05-15 (金) 11:19:43)
追加された行はこの色です。
削除された行はこの色です。
[[Open棟梁Project>http://opentouryo.osscons.jp/]] - [[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>アカウント]]
--[[ビルトイン システム アカウント]]
--[[ドメイン アカウント]]
--新しいアカウント
---[[仮想アカウント]]
---gMSA

* 目次 [#pd893d1c]
#contents

*概要 [#pcd1706a]
グループの管理されたサービスアカウント~
gMSA:Group Managed Service Accounts

-ドメイン アカウントとして分離できるように設計された。

-[[SPN]]や資格情報を手動で管理する必要がなくなる。
--グループ管理サービスアカウント~
http://azuread.net/2013/09/12/%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E7%AE%A1%E7%90%86%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88/
>Active Directoryに登録されたユーザーのパスワードは変更されたけど、サービスに登録されたユーザーのパスワードは変更されない」という問題
>[[Active Directory]]に登録されたユーザーのパスワードは変更されたけど、サービスに登録されたユーザーのパスワードは変更されない」という問題

-複数のサーバーで利用でき、利用できるサーバーを限定できる。
-主に、ADFSやNLBなどのサーバファームのサービスアカウントとして便利に使用する。

-主に、[[ADFS>フェデレーション サービス (AD FS)]]や[[NLB]]などのサーバファームのサービスアカウントとして便利に使用する。
--グループの管理されたサービス アカウントの概要~
http://technet.microsoft.com/ja-jp/library/jj128431.aspx
>ネットワーク負荷分散 (NLB) (またはすべてのサーバーがクライアントに対して同じサービスを提供している) などの方式を使用しているサーバー ファームにホストされたサービスにクライアント コンピューターが接続するときに、サービスのすべてのインスタンスが同じプリンシパルを使用していない場合は、相互認証 (Kerberosなど) をサポートする認証プロトコルを使用することはできません。つまり、各サービスは同じパスワード/キーを使用して ID を証明する必要があります。

-[[SPN]]とあるが、
--サーバファームの相互認証 (Kerberosなど)のサポート簡素化が目的で、
--「[[委任]]」・「制約付き委任」等には関係がない模様。
--サーバファームの相互認証 ([[ケルベロス認証]]など)のサポート簡素化が目的で、
--[[「委任」・「制約付き委任」>委任#l6df523f]]等には関係がない模様。

*MSAとgMSAの違いは [#c8cf3f23]

**そもそもMSAとは [#hdafc551]
管理されたサービスアカウント~
MSA:Managed Service Accounts

-Windows 7 および Windows Server 2008 R2 以降でサポートされた、
--「[[仮想アカウント]]」
--「管理されたサービスアカウント」

-Windows 7 および Windows Server 2008 R2 向けの~
管理されたサービス アカウントのドキュメント~
https://technet.microsoft.com/ja-jp/library/ff641731.aspx
>アカウントを各自のドメイン アカウントとして分離できるように設計されたものです。~
管理者にとっては、サービス プリンシパル名 ([[SPN]]) とこれらのアカウントの資格情報を手動で管理する必要がなくなります。

**gMSAでの拡張 [#zb530d7b]

-Blogs - フィールドSEあがりの安納です - Site Home - TechNet Blogs~
http://blogs.technet.com/b/junichia/archive/2013/10/16/3602856.aspx

--MSA
---複数のコンピューターで共有できない 
---MSAはアプリケーションレベルでサポートされる 
---タスクスケジューラーで使用できない 

--gMSA
---複数のコンピューターで共有できる 
---タスクスケジューラーで使用できる 

*設定方法 [#l0a4c660]
以下を参照してください。

**設定例 [#t47089c1]
インフラ系の方達が、さっそく情報を公開しています。

-グループ管理サービスアカウント~
http://azuread.net/2013/09/12/%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E7%AE%A1%E7%90%86%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88/

-gMSA を使用して SQL Server をインストール at SE の雑記~
http://blog.engineer-memo.com/2014/02/09/gmsa-%E3%82%92%E4%BD%BF%E7%94%A8%E3%81%97%E3%81%A6-sql-server-%E3%82%92%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB/

-Windows Server 2012 R2 の AD FS 用のラボ環境をセットアップする~
http://technet.microsoft.com/ja-jp/library/dn280939.aspx

*参考 [#h9641424]

-Windows 7 および Windows Server 2008 R2 向けの~
管理されたサービス アカウントのドキュメント~
http://technet.microsoft.com/ja-jp/library/ff641731.aspx
--管理されたサービス アカウントに関してよく寄せられる質問 (FAQ)~
http://technet.microsoft.com/ja-jp/library/ff641729.aspx
--サービス アカウントのステップ バイ ステップ ガイド~
http://technet.microsoft.com/ja-jp/library/dd548356.aspx

-グループの管理されたサービス アカウントの概要~
http://technet.microsoft.com/ja-jp/library/hh831782.aspx
--管理されたサービス アカウントの新機能~
http://technet.microsoft.com/ja-jp/library/hh831451.aspx
--グループの管理されたサービス アカウントの概要~
http://technet.microsoft.com/ja-jp/library/jj128431.aspx

----
Tags: [[:セキュリティ]], [[:アカウント]], [[:Windows]], [[Active Directory]]