Comptes de service gérés de groupe

Les comptes de service gérés (MSA) ont été introduits dans Windows Server 2008 R2 pour gérer (modifier) ​​automatiquement les mots de passe des comptes de service. En utilisant MSA, vous pouvez réduire considérablement le risque de compromission des comptes système exécutant les services système. MSA a un problème majeur qui est l'utilisation d'un tel compte de service sur un seul ordinateur. Cela signifie que les comptes de service MSA ne peuvent pas fonctionner avec les services de cluster ou NLB, qui fonctionnent simultanément sur plusieurs serveurs et utilisent le même compte et le même mot de passe. Pour résoudre ce problème, Microsoft a ajouté la fonctionnalité deGroup Managed Service Accounts (gMSA) à Windows Server 2012.

Pour créer un gMSA, nous devons suivre les étapes ci-dessous -

Step 1- Créez la clé racine KDS. Ceci est utilisé par le service KDS sur DC pour générer des mots de passe.

Pour utiliser la clé immédiatement dans l'environnement de test, vous pouvez exécuter la commande PowerShell -

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Pour vérifier si la création a réussi ou non, nous exécutons la commande PowerShell -

Get-KdsRootKey

Step 2 - Pour créer et configurer gMSA → Ouvrez le terminal Powershell et tapez -

Nouveau - ADServiceAccount - nom gmsa1 - DNSHostNamedc1.example.com - PrincipalsAllowedToRetrieveManagedPassword "gmsa1Group"

Dans lequel,

  • gmsa1 est le nom du compte gMSA à créer.

  • dc1.example.com est le nom du serveur DNS.

  • gmsa1Groupest le groupe Active Directory qui comprend tous les systèmes devant être utilisés. Ce groupe doit être créé avant dans les groupes.

Pour le vérifier, accédez à → Gestionnaire de serveur → Outils → Utilisateurs et ordinateurs Active Directory → Comptes de services gérés.

Step 3 - Pour installer des gMA sur un serveur → ouvrez le terminal PowerShell et tapez les commandes suivantes -

  • Installer - ADServiceAccount - Identité gmsa1
  • Test - ADServiceAccount gmsa1

Le résultat devrait être «vrai» après l'exécution de la deuxième commande, comme indiqué dans la capture d'écran ci-dessous.

Step 4 - Accédez aux propriétés du service, spécifiez que le service sera exécuté avec un gMSA account. dans leThis account boîte dans le Log ontapez le nom du compte de service. À la fin du nom, utilisez le symbole$, le mot de passe n'a pas besoin d'être spécifié. Une fois les modifications enregistrées, le service doit être redémarré.

Le compte recevra le «Log On as a Service» et le mot de passe sera récupéré automatiquement.