组托管服务账户简介

功能描述

自Windows Server 2008 R2和Windows 7引入的独立托管服务账户（sMSA）提供了自动密码管理和简化SPN管理的功能，并可将管理权限委派给其他管理员。组托管服务账户在域中扩展了这些功能，允许多个服务器共享同一身份，以支持网络负载均衡等场景下的相互身份验证协议。通过使用gMSA作为服务主体，Windows操作系统负责管理账户密码，无需管理员手动干预。

Microsoft密钥分发服务（kdssvc.dll）提供了一种安全获取最新密钥或特定密钥标识符的方法，该服务仅适用于Windows Server 2012及以上版本。密钥会定期更新，Windows Server 2012域控制器负责计算并提供密钥密码及其他属性。成员主机可通过联系Windows Server 2012域控制器获得当前和历史密码值。

实际应用场景

gMSA为服务器场或网络负载均衡后的系统提供了统一的身份解决方案，使得服务配置更加简便且由Windows处理密码管理。使用gMSA时，服务实例之间无需同步密码，支持长时间离线的主机和服务实例的集中管理。这意味着可以部署支持现有客户端计算机进行身份验证的单个身份的服务器场，而无需知道具体连接的服务实例。

虽然故障转移群集不直接支持gMSA，但如果群集上的服务是Windows服务、应用程序池、计划任务或本机支持gMSA/sMSA，则它们仍然可以使用这些账户。

新功能与更改

下表总结了MSA功能的变化：

有关更多信息，请参阅托管服务账户的新功能。

弃用功能

对于Windows Server 2012，默认情况下，Windows PowerShell cmdlet用于管理gMSA，而非原始的sMSA。

软件要求

sMSA和虚拟计算机账户适用于Windows Server 2008 R2和Windows Server 2012。gMSA只能在运行Windows Server 2012的计算机上配置和管理，但在混合环境中也可以作为单个服务身份解决方案。没有域或林功能级别要求。

要运行管理gMSA的Windows PowerShell命令，需要64位体系结构。托管服务账户依赖于Kerberos支持的加密类型。DC根据msDS-SupportedEncryptionTypes属性确定服务器支持的加密类型。如果未配置AES，则身份验证可能会失败。因此，建议显式配置AES加密。

从Windows Server 2008 R2开始，默认禁用DES加密。有关更多信息，请参阅Kerberos身份验证的变化。

gMSA不适用于低于Windows Server 2012的操作系统。

服务器管理器信息

无需额外配置步骤即可使用服务器管理器或Install-WindowsFeature cmdlet实现MSA和gMSA。

相关资源

以下表格提供了更多关于托管服务账户和gMSA的链接：