Konta usług zarządzane przez grupę

Zarządzane konta usług (MSA) zostały wprowadzone w systemie Windows Server 2008 R2 w celu automatycznego zarządzania (zmiany) haseł do kont usług. Korzystając z MSA, można znacznie zmniejszyć ryzyko naruszenia bezpieczeństwa kont systemowych obsługujących usługi systemowe. MSA ma jeden poważny problem, który polega na korzystaniu z takiego konta usługi tylko na jednym komputerze. Oznacza to, że konta usług MSA nie mogą współpracować z usługami klastra lub równoważenia obciążenia sieciowego, które działają jednocześnie na wielu serwerach i używają tego samego konta i hasła. Aby to naprawić, firma Microsoft dodała funkcjęGroup Managed Service Accounts (gMSA) do systemu Windows Server 2012.

Aby utworzyć gMSA, powinniśmy postępować zgodnie z instrukcjami podanymi poniżej -

Step 1- Utwórz klucz główny KDS. Jest to używane przez usługę KDS na kontrolerze domeny do generowania haseł.

Aby natychmiast użyć klucza w środowisku testowym, możesz uruchomić polecenie PowerShell -

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Aby sprawdzić, czy tworzy pomyślnie, czy nie, uruchamiamy polecenie PowerShell -

Get-KdsRootKey

Step 2 - Aby utworzyć i skonfigurować gMSA → Otwórz terminal Powershell i wpisz -

Nowość - ADServiceAccount - nazwa gmsa1 - DNSHostNamedc1.example.com - PrincipalsAllowedToRetrieveManagedPassword „gmsa1Group”

W którym,

  • gmsa1 to nazwa tworzonego konta gMSA.

  • dc1.example.com to nazwa serwera DNS.

  • gmsa1Groupto grupa active directory zawierająca wszystkie systemy, które mają być używane. Ta grupa powinna zostać utworzona wcześniej w grupach.

Aby to sprawdzić, przejdź do → Menedżer serwera → Narzędzia → Użytkownicy i komputery usługi Active Directory → Zarządzane konta usług.

Step 3 - Aby zainstalować gMA na serwerze → otwórz terminal PowerShell i wpisz następujące polecenia -

  • Zainstaluj - ADServiceAccount - Identity gmsa1
  • Test - ADServiceAccount gmsa1

Wynik powinien być „True” po uruchomieniu drugiego polecenia, jak pokazano na poniższym zrzucie ekranu.

Step 4 - Przejdź do właściwości usługi, określ, że usługa będzie uruchamiana z rozszerzeniem gMSA account. wThis account pudełko w Log onWpisz nazwę konta usługi. Na końcu nazwy użyj symbolu$, nie trzeba podawać hasła. Po zapisaniu zmian usługę należy ponownie uruchomić.

Konto otrzyma opcję „Logowanie jako usługa”, a hasło zostanie odzyskane automatycznie.