Beperkte Kerberos-delegering (KCD) configureren in Microsoft Entra Domain Services

Wanneer u toepassingen uitvoert, is het mogelijk dat deze toepassingen toegang hebben tot resources in de context van een andere gebruiker. Active Directory Domain Services (AD DS) ondersteunt een mechanisme met de naam Kerberos-delegering dat deze use-case mogelijk maakt. Kerberos beperkte delegatie (KCD) bouwt op dit mechanisme voort om specifieke resources vast te stellen die toegankelijk zijn in de gebruikerscontext.

Beheerde domeinen van Microsoft Entra Domain Services zijn veiliger vergrendeld dan traditionele on-premises AD DS-omgevingen. Gebruik daarom een veiligere op resources gebaseerde KCD.

In dit artikel wordt beschreven hoe u beperkte Kerberos-delegering op basis van resources configureert in een door Domain Services beheerd domein.

Voorwaarden

U hebt de volgende bronnen nodig om dit artikel te voltooien:

• Een actief Azure-abonnement.
  • Als u geen Azure-abonnement hebt, maak dan een account aan.
• Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of alleen een cloud directory.
  • indien nodig een Microsoft Entra-tenant maken of een Azure-abonnement koppelen aan uw account.
• Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
  • Indien nodig een door Microsoft Entra Domain Services beheerd domeinmaken en configureren.
• Een Windows Server-beheer-VM die is gekoppeld aan het beheerde domein Domain Services.
  • Voltooi indien nodig de zelfstudie voor het maken van een Virtuele Windows Server-machine en voeg deze toe aan een beheerd domein vervolgens de AD DS-beheerhulpprogramma'sinstalleren.
• Een gebruikersaccount dat lid is van de Microsoft Entra DC-beheerders groep in uw Microsoft Entra-tenant.

Overzicht van beperkte Kerberos-delegering

Met Kerberos-delegering kan één account een ander account imiteren voor toegang tot resources. Een webtoepassing die toegang heeft tot een back-endwebonderdeel kan zich bijvoorbeeld voordoen als een ander gebruikersaccount wanneer het verbinding maakt met de back-end. Kerberos-delegering is onveilig omdat deze niet beperkt tot de resources waartoe het imitatieaccount toegang heeft.

Kerberos beperkte delegatie (KCD) beperkt de services of bronnen waarmee een bepaalde server of toepassing verbinding mag maken bij het zich voordoen als een andere identiteit. Voor traditionele KCD zijn domeinbeheerdersbevoegdheden vereist om een domeinaccount voor een service te configureren en wordt het account beperkt tot uitvoering op één domein.

Traditionele KCD heeft ook enkele problemen. In eerdere besturingssystemen had de servicebeheerder bijvoorbeeld geen handige manier om te weten welke front-endservices zijn gedelegeerd aan de resourceservices waarvan ze eigenaar zijn. Elke front-endservice die aan een resourceservice kon delegeren, was een potentieel aanvalspunt. Als een server waarop een front-endservice wordt gehost die is geconfigureerd om te delegeren aan resourceservices is gecompromitteerd, kunnen de resourceservices ook worden aangetast.

In een beheerd domein hebt u geen bevoegdheden voor domeinbeheerders. Als gevolg hiervan kan KCD op basis van een traditioneel account niet worden geconfigureerd in een beheerd domein. KCD op basis van resources kan in plaats daarvan worden gebruikt, wat ook veiliger is.

KCD op basis van resources

Windows Server 2012 en hoger biedt servicebeheerders de mogelijkheid om beperkte delegering voor hun service te configureren. Dit model staat bekend als KCD op basis van middelen. Met deze methode kan de back-endservicebeheerder specifieke front-endservices toestaan of weigeren om KCD te gebruiken.

KCD op basis van resources wordt geconfigureerd met behulp van PowerShell. U gebruikt de Set-ADComputer of Set-ADUser cmdlets, afhankelijk van of het imitatieaccount een computeraccount of een gebruikersaccount/ serviceaccount is.

KCD op basis van resources configureren voor een computeraccount

In dit scenario gaan we ervan uit dat u een web-app hebt die wordt uitgevoerd op de computer met de naam contoso-webapp.aaddscontoso.com.

De web-app moet toegang hebben tot een web-API die wordt uitgevoerd op de computer met de naam contoso-api.aaddscontoso.com in de context van domeingebruikers.

Voer de volgende stappen uit om dit scenario te configureren:

1. Maak een aangepaste OE. U kunt machtigingen delegeren om deze aangepaste organisatie-eenheid te beheren aan gebruikers binnen het beheerde domein.

2. Maak de virtuele machines, zowel degene waarop de webapp als de web-API draait, lid van het beheerde domein. Maak deze computeraccounts in de aangepaste organisatie-eenheid uit de vorige stap.

   Notitie

   De computeraccounts voor de webapp en de web-API moeten zich bevinden in een aangepaste organisatie-eenheid waarin u machtigingen hebt om resource-based KCD te configureren. U kunt KCD op basis van resources niet configureren voor een computeraccount in de ingebouwde Microsoft Entra DC-computers container.

3. Configureer tot slot KCD op basis van resources met behulp van de Set ADComputer PowerShell-cmdlet.

   Voer de volgende cmdlets uit vanaf uw domein-aangesloten beheervirtual machine (VM), en zorg ervoor dat u bent ingelogd als een gebruikersaccount dat lid is van de Microsoft Entra DC-beheerders groep. Geef indien nodig uw eigen computernamen op:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

KCD op basis van resources configureren voor een gebruikersaccount

In dit scenario gaan we ervan uit dat u een web-app hebt die wordt uitgevoerd als een serviceaccount met de naam appsvc. De web-app moet toegang hebben tot een web-API die wordt uitgevoerd als een serviceaccount met de naam backendsvc in de context van domeingebruikers. Voer de volgende stappen uit om dit scenario te configureren:

1. een aangepaste OE-maken. U kunt machtigingen delegeren om deze aangepaste organisatie-eenheid te beheren aan gebruikers binnen het beheerde domein.

2. Koppel de virtuele machines die de backend-web-API/-resource uitvoeren aan het beheerde domein. Maak het computeraccount binnen de specifieke OU aan.

3. Maak het serviceaccount (bijvoorbeeld appsvc) dat wordt gebruikt om de web-app uit te voeren binnen de aangepaste organisatie-eenheid.

   Notitie

   Ook hier moet het computeraccount voor de web-API-VM en het serviceaccount voor de web-app zich in een aangepaste organisatie-eenheid bevinden waar u gemachtigd bent om KCD op basis van resources te configureren. U kunt KCD op basis van resources niet configureren voor accounts in de ingebouwde Microsoft Entra DC-computers of Microsoft Entra DC-gebruikers containers. Dit betekent ook dat u geen gebruikersaccounts kunt gebruiken die zijn gesynchroniseerd met Microsoft Entra ID om KCD op basis van resources in te stellen. U moet serviceaccounts maken en gebruiken die specifiek zijn gemaakt in Domain Services.

4. Ten slotte configureert u KCD op basis van resources met behulp van de Set-ADUser PowerShell-cmdlet.

   Voer de volgende cmdlets uit vanaf uw domeingebonden beheer-VM terwijl u bent aangemeld als een gebruikersaccount dat lid is van de Microsoft Entra DC-beheerders groep. Geef indien nodig uw eigen servicenamen op:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Volgende stappen

Zie Overzicht van beperkte Kerberos-delegeringvoor meer informatie over hoe delegatie werkt in Active Directory Domain Services.