Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Dieser Artikel gilt nur für MIM 2016 SP3.
Microsoft Identity Manger (MIM) arbeitet mit Ihrer Active Directory(AD)-Domäne zusammen. Sie sollten AD bereits installiert haben, und stellen Sie sicher, dass Sie über einen Domänencontroller in Ihrer Umgebung für eine Domäne verfügen, die Sie verwalten können. In diesem Artikel wird beschrieben, wie Gruppenverwaltete Dienstkonten in dieser Domäne für die Verwendung durch MIM eingerichtet werden.
Überblick
Gruppenverwaltete Dienstkonten beseitigen die Notwendigkeit, die Kennwörter des Dienstkontos regelmäßig zu ändern. Mit der Veröffentlichung von MIM 2016 SP3 können die folgenden MIM-Komponenten gMSA-Konten für die Verwendung während des Installationsprozesses konfiguriert haben:
- MIM-Synchronisierungsdienst (FIMSynchronizationService)
- MIM-Dienst (FIMService)
- MIM-Anwendungspool für die Kennwortregistrierung der Website
- MIM-Anwendungspool für die Kennwortzurücksetzung der Webseite
- PAM REST-API-Websiteanwendungspool
- PAM Überwachungsdienst (PamMonitoringService)
- PAM-Komponentendienst (PrivilegeManagementComponentService)
Die folgenden MIM-Komponenten unterstützen die Ausführung nicht als gMSA-Konten:
- MIM-Portal. Dies liegt daran, dass MIM-Portal Teil der SharePoint-Umgebung ist. Stattdessen können Sie SharePoint im Farmmodus bereitstellen und automatische Kennwortänderung in SharePoint Server konfigurieren.
- Alle Verwaltungs-Agents
- Microsoft-Zertifikatverwaltung
- BHOLD
Weitere Informationen zu gMSA finden Sie in den folgenden Artikeln:
Erstellen von Benutzerkonten und Gruppen
Alle Komponenten Ihrer MIM-Bereitstellung benötigen ihre eigenen Identitäten in der Domäne. Dazu gehören die MIM-Komponenten wie Dienst und Synchronisierung sowie SharePoint und SQL.
Hinweis
In diesem Leitfaden werden Beispielnamen und Werte aus einem Unternehmen namens Contoso verwendet. Ersetzen Sie diese durch Ihre eigenen. Beispiel:
- Domänencontrollername - dc
- Domänenname – contoso
- MIM-Dienstservername - mimservice
- MIM-Synchronisierungsservername – mimsync
- SQL Server-Name – sql
- Kennwort - Pass@word1
Melden Sie sich beim Domänencontroller als Domänenadministrator an (z. B. Contoso\Administrator).
Erstellen Sie die folgenden Benutzerkonten für MIM-Dienste. Starten Sie PowerShell, und geben Sie das folgende PowerShell-Skript ein, um neue AD-Domänenbenutzer zu erstellen (nicht alle Konten sind obligatorisch, obwohl das Skript nur zu Informationszwecken bereitgestellt wird, empfiehlt es sich, ein dediziertes MIMAdmin-Konto für MIM- und SharePoint-Installationsprozess zu verwenden).
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMAdmin –name MIMAdmin Set-ADAccountPassword –identity MIMAdmin –NewPassword $sp Set-ADUser –identity MIMAdmin –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName svcSharePoint –name svcSharePoint Set-ADAccountPassword –identity svcSharePoint –NewPassword $sp Set-ADUser –identity svcSharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName svcMIMSql –name svcMIMSql Set-ADAccountPassword –identity svcMIMSql –NewPassword $sp Set-ADUser –identity svcMIMSql –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName svcMIMAppPool –name svcMIMAppPool Set-ADAccountPassword –identity svcMIMAppPool –NewPassword $sp Set-ADUser –identity svcMIMAppPool –Enabled 1 -PasswordNeverExpires 1Erstellen Sie Sicherheitsgruppen für alle Gruppen.
New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator Add-ADGroupMember -identity MIMSyncAdmins -Members MIMAdminHinzufügen von SPNs zum Aktivieren der Kerberos-Authentifizierung für Dienstkonten
setspn -S http/mim.contoso.com contoso\svcMIMAppPoolStellen Sie sicher, dass Sie die folgenden DNS-A-Einträge für die richtige Namensauflösung registrieren (vorausgesetzt, dass MIM-Dienst, MIM-Portal, Kennwortzurücksetzung und Kennwortregistrierungswebsites auf demselben Computer gehostet werden)
- mim.contoso.com – auf die physische IP-Adresse des MIM-Dienstes und des Portalservers verweisen.
- passwordreset.contoso.com – zeigt auf die physische IP-Adresse des MIM-Diensts und des Portalservers.
- passwordregistration.contoso.com – verweisen auf die physische IP-Adresse des MIM-Diensts und des Portalservers.
Erstellen des Stammschlüssels des Schlüsselverteilungsdiensts
Stellen Sie sicher, dass Sie als Administrator bei Ihrem Domänencontroller angemeldet sind, um den Gruppenschlüsselverteilungsdienst vorzubereiten.
Wenn bereits ein Stammschlüssel für die Domäne vorhanden ist (zum Überprüfen von Get-KdsRootKey verwenden), fahren Sie mit dem nächsten Abschnitt fort.
Erstellen Sie bei Bedarf den Key Distribution Services (KDS)-Stammschlüssel (nur einmal pro Domäne). Der Stammschlüssel wird vom KDS-Dienst auf Domänencontrollern (zusammen mit anderen Informationen) zum Generieren von Kennwörtern verwendet. Geben Sie als Domänenadministrator den folgenden PowerShell-Befehl ein:
Add-KDSRootKey –EffectiveImmediately–EffectiveImmediately kann eine Verzögerung von bis zu ca. 10 Stunden erfordern, da sie auf alle Domänencontroller repliziert werden muss. Diese Verzögerung betrug ungefähr 1 Stunde für zwei Domänencontroller.
Hinweis
In der Lab- oder Testumgebung können Sie 10 Stunden Replikationsverzögerung vermeiden, indem Sie stattdessen den folgenden Befehl ausführen:
Add-KDSRootKey -EffectiveTime ((Get-Date).AddHours(-10))
Erstellen Sie ein MIM-Synchronisierungsdienstkonto, eine Gruppe und ein Dienstprinzipal.
Stellen Sie sicher, dass alle Computerkonten für Computer, auf denen MIM-Software installiert werden soll, bereits mit der Domäne verbunden sind. Führen Sie dann diese Schritte in PowerShell als Domänenadministrator aus.
Erstellen Sie eine Gruppe MIMSync_Servers , und fügen Sie dieser Gruppe alle MIM-Synchronisierungsserver hinzu. Geben Sie Folgendes ein, um eine neue AD-Gruppe für MIM-Synchronisierungsserver zu erstellen. Fügen Sie dann active Directory-Computerkonten des MIM-Synchronisierungsservers, z. B. contoso\MIMSync$, zu dieser Gruppe hinzu.
New-ADGroup –name MIMSync_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMSync_Servers Add-ADGroupmember -identity MIMSync_Servers -Members MIMSync$Erstellen Sie den MIM-Synchronisierungsdienst gMSA. Geben Sie die folgende PowerShell ein.
New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"Überprüfen Sie die Details des GSMA, die durch Ausführen des PowerShell-Befehls Get-ADServiceAccount erstellt wurden:
Wenn Sie beabsichtigen, den Kennwortänderungsbenachrichtigungsdienst auszuführen, müssen Sie den Dienstprinzipalnamen registrieren, indem Sie diesen PowerShell-Befehl ausführen:
Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}Starten Sie den MIM-Synchronisierungsserver neu, um ein Dem Server zugeordnetes Kerberos-Token zu aktualisieren, da sich die Gruppenmitgliedschaft "MIMSync_Server" geändert hat.
Erstellen eines MIM-Dienstverwaltungs-Agent-Dienstkontos
- Normalerweise erstellen Sie beim Installieren des MIM-Diensts ein neues Konto für den MIM-Dienstverwaltungs-Agent (MIM MA-Konto). Mit gMSA stehen zwei Optionen zur Verfügung:
Verwenden sie das verwaltete Dienstkonto des MIM-Synchronisierungsdiensts, und erstellen Sie kein separates Konto.
Sie können die Erstellung des MIM-Dienstverwaltungs-Agent-Dienstkontos überspringen. Verwenden Sie in diesem Fall den MIM-Synchronisierungsdienst gMSA-Namen, z. B. contoso\MIMSyncGMSAsvc$, anstelle des MIM MA-Kontos beim Installieren des MIM-Diensts. Aktivieren Sie später in der MIM-Dienstverwaltungs-Agent-Konfiguration die Option "MIMSync-Konto verwenden" .
Aktivieren Sie "Anmeldung vom Netzwerk verweigern" nicht für den MIM-Synchronisierungsdienst gMSA, da das MIM MA-Konto die Berechtigung "Netzwerkanmeldung zulassen" erfordert.
Verwenden Sie ein reguläres Dienstkonto für das Dienstkonto des MIM-Dienstverwaltungsagenten
Starten Sie PowerShell als Domänenadministrator, und geben Sie Folgendes ein, um einen neuen AD-Domänenbenutzer zu erstellen:
$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName svcMIMMA –name svcMIMMA Set-ADAccountPassword –identity svcMIMMA –NewPassword $sp Set-ADUser –identity svcMIMMA –Enabled 1 –PasswordNeverExpires 1Aktivieren Sie nicht "Anmeldung über das Netzwerk verweigern" für das MIM MA-Konto, da die Berechtigung "Netzwerkanmeldung zulassen" erforderlich ist.
Erstellen Sie MIM-Dienstkonten, Gruppen und Dienstprinzipalobjekte
Verwenden Sie PowerShell weiterhin als Domänenadministrator.
Erstellen Sie eine Gruppe MIMService_Servers , und fügen Sie dieser Gruppe alle MIM-Dienstserver hinzu. Geben Sie die folgende PowerShell ein, um eine neue AD-Gruppe für MIM-Dienstserver zu erstellen und ein Active Directory-Computerkonto des MIM-Dienstservers hinzuzufügen, z. B. "contoso\MIMPortal$", zu dieser Gruppe.
New-ADGroup –name MIMService_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMService_Servers Add-ADGroupMember -identity MIMService_Servers -Members MIMPortal$Erstellen Sie MIM Service gMSA.
New-ADServiceAccount -Name MIMSrvGMSAsvc -DNSHostName MIMSrvGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMService_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='FIMService/mimportal.contoso.com'}Registrieren Sie den Dienstprinzipalnamen, und aktivieren Sie die Kerberos-Delegierung, indem Sie diesen PowerShell-Befehl ausführen:
Set-ADServiceAccount -Identity MIMSrvGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="FIMService/mimportal.contoso.com"}Für SSPR-Szenarien benötigen Sie MIM-Dienstkonto, das mit dem MIM-Synchronisierungsdienst kommunizieren kann, daher muss MIM-Dienstkonto entweder Mitglied von MIMSyncAdministrators oder MIM Sync Password Reset and Browse groups sein:
Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMSrvGMSAsvc$ Add-ADGroupmember -identity MIMSyncBrowse -Members MIMSrvGMSAsvc$Starten Sie den MIM-Dienstserver neu, um ein Kerberos-Token zu aktualisieren, das dem Server zugeordnet ist, da sich die Gruppenmitgliedschaft "MIMService_Servers" geändert hat.
Erstellen anderer MIM-Konten und -Gruppen bei Bedarf
Wenn Sie MIM SSPR konfigurieren, folgen Sie den gleichen Richtlinien wie oben beschrieben für den MIM-Synchronisierungsdienst und MIM-Dienst, um andere gMSA zu erstellen für:
- MIM-Anwendungspool für die Kennwortzurücksetzung der Webseite
- MIM-Anwendungspool für die Kennwortregistrierung der Website
Wenn Sie MIM PAM konfigurieren, sollten Sie dieselben Richtlinien wie oben für den MIM-Synchronisierungsdienst und den MIM-Dienst beschrieben befolgen, um weitere gMSA für folgende Zwecke zu erstellen:
- MIM PAM REST API-Websiteanwendungspool
- MIM PAM-Komponentendienst
- MIM PAM Monitoring-Dienst
Angeben eines gMSA bei der Installation von MIM
In den meisten Fällen, wenn Sie ein MIM-Installationsprogramm verwenden, geben Sie in den meisten Fällen an, dass Sie ein gMSA anstelle eines regulären Kontos verwenden möchten, fügen Sie ein Dollarzeichen an den gMSA-Namen an, z. B. contoso\MIMSyncGMSAsvc$, und lassen Sie das Kennwortfeld leer. Eine Ausnahme ist das miisactivate.exe Tool, das den gMSA-Namen ohne das Dollarzeichen akzeptiert.