Различия

Показаны различия между двумя версиями страницы.

--- microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-and-update-service-principal-name-spn-entries-for-msa-gmsa-in-the-ad-domain [30.10.2018 17:23] – создано Алексей Максимов
+++ microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-and-update-service-principal-name-spn-entries-for-msa-gmsa-in-the-ad-domain [31.10.2018 17:35] (текущий) – Алексей Максимов
@@ Строка 1: / Строка 1: @@
-===== Черновик =====
+===== Изменение записей Service Principal Name (SPN) для MSA и gMSA =====
-{{:microsoft-windows:windows-server-2012-r2:adds:pasted:20180818-100844.png }} Для использования учётных записей Managed Service Account (MSA) и Group Managed Service Account (gMSA) ...
+{{:microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-145253.png }} Управление записями **Service Principal Name** (**SPN**), используемыми в работе протокола **Kerberos** в домене **Active Directory** для учётных записей **Managed Service Account** (**MSA**) и **Group Managed Service Account** (**gMSA**) поддерживается в автоматическом режиме ограниченным набором сервисов. Например, служба экземпляра **SQL Server** самостоятельно умеет регистрировать в Active Directory нужные SPN в свойствах учётной записи, от имени которой выполняется экземпляр. Однако для этого необходимо выдать учётной записи права на управление собственным атрибутом **servicePrincipalName**. Как выдать такие права мы уже рассматривали ранее в заметке [[https://blog.it-kb.ru/2011/04/10/sql-server-spn-service-principal-name/|SQL Server и динамическая регистрация SPN (Service Principal Name)]]
-<WRAP center todo 100%> Данная страница находится в стадии наполнения.\\
+Для ручного управления SPN-записями учётных записей MSA/gMSA, как и прочих учётных записей в домене, требуются права уровня **Domain Administrator**.
-Конечный контент страницы будет доступен позже.
-</WRAP>
+Создавать, изменять и удалять SPN записи для MSA/gMSA можно разными способами:
+  * С помощью утилиты **setspn**. Пример использования этой утилиты рассматривался [[https://blog.it-kb.ru/2011/04/10/sql-server-spn-service-principal-name/|ранее]].
+  * С помощью прямой правки атрибута **servicePrincipalName** в графических оснастках ADDS, например в консоли **Active Directory Users and Computers** (**ADUC**).
+  * С помощью **PowerShell**. Примеры использования, рассмотрим далее.
+\\
+==== Проверка SPN ====
+Проверить то, какие SPN записи имеются у учётной записи MSA/gMSA можем следующим образом:
+<code powershell>Get-ADServiceAccount -Identity myMSA1 -Properties ServicePrincipalNames `
+ | Select Name,ObjectClass,ServicePrincipalNames | Format-List</code>
+\\
+==== Добавление SPN ====
+Добавить новую SPN-запись к уже имеющимся в свойствах учтённой записи MSA/gMSA можно следующим образом:
+<code powershell>Set-ADServiceAccount - Identity myMSA1 `
+ -ServicePrincipalNames @{Add="<запись SPN>"}</code>
+{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-173054.png }}
+\\
+==== Изменение SPN ====
+Изменить какую-либо из уже существующих SPN-записей можно командой вида:
+<code powershell>Set-ADServiceAccount -Identity myMSA1 `
+ -ServicePrincipalNames @{Replace="<старая запись SPN>","<новая запись SPN>"}</code>
+Однако следует учесть, что практика использования командлета **Set-ADServiceAccount** на **Windows Server 2012 R2** показывает, что на самом деле вместо замены SPN происходит добавление дополнительного SPN.
+{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-173123.png }}
+\\
+==== Удаление SPN ====
+Удалить ненужную SPN-запись можно командой вида:
+<code powershell>Set-ADServiceAccount -Identity myMSA1 `
+ -ServicePrincipalNames @{Remove="<удаляемая запись SPN>"}</code>
+{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-173140.png }}
@@ Строка 16: / Строка 61: @@
 {{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 30.10.2018 17:23
-{{tag>Microsoft "Windows Server" "Windows Server 2012 R2" ADDS "Active Directory" MSA gMSA "Managed Service Account" "Group Managed Service Account"}}
+{{tag>Microsoft "Windows Server" "Windows Server 2012 R2" ADDS "Active Directory" MSA gMSA "Managed Service Account" "Group Managed Service Account" SPN "Service Principal Name"servicePrincipalName Kerberos PowerShell}}
 ~~DISCUSSION~~