Group Managed Service Account

Aus MyWiki
Zur Navigation springen Zur Suche springen

Hier ein Test zu "Group Managed Service Accounts" (gMSA):
gMSA funktionieren leider nur mit Windows 2012 Servern.
Windows 2008 R2 Server können nur "Managed Service Accounts" (MSA) verwenden.
MSA haben gegenüber von gMSA den Nachteil, dass diese Accounts nur auf einem Server gleichzeitig laufen können. D.h. für jeden Server der einen "Managed Service" bekommen soll, muss ein eigener MSA erstellt werden.

Die Einrichtung eines gMSA ist recht simpel:
1. KDS Root Key erstellen
Add-KDSRootKey –EffectiveImmediately
--> Nun ca. 10 Stunden warten oder folgenden Befehl stattdessen ausführen: Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
2. eine AD Sicherheits-Gruppe erstellen und Computer-Konten am Mitglieder hinzufügen, auf denen der gMSA verwendet werden soll
3. Rechner der für gMSA verwendet werden soll, neustarten oder warten bis Gruppenmitgliedschaft automatisch erkannt wurde
4. gMSA erstellen:
New-ADServiceAccount -name <gMSA-Name> -DNSHostName <FQDN> -PrincipalsAllowedToRetrieveManagedPassword <Gruppe die bei 2. angelegt wurde>
--> wozu der DNSHostname benötigt wird ist mir nicht ganz klar
5. gMSA den benötigten AD-Gruppen hinzufügen, damit er z.B. Berechtigungen auf Fileshares bekommt.
6. Dienst für gMSA auswählen und bei Benutzername den gMSA Namen eingeben und mit $-Zeichen abschließen(bsp: mydomain\<gMSA-Name>$)
Passwort-Feld leer machen, also kein Passwort eintragen
7. Dienst starten

Auf einigen Internet Seiten liest man, dass der gMSA nach dem Erstellen (4.) noch auf dem Ziel-Rechner installiert werden muss mit "Install-ADServiceAccount -Identity <gMSA-Name>".
Das war bei meinen Tests nicht nötig.

Scheinbar gibt es ein oder mehrere Features bei deren Vorhandensein ein Windows Dienst mit gMSA sich beim Starten aufhängt (Dienst steht auf "Starting")
Festgestellt habe ich es auf einem Domaincontroller
Zum Test habe ich einen anderen Server aufgesetzt und zu einen Domaincontroller in einer neuen Stammdomäne heraufgestuft.
Hier ließ sich der gMSA für den Dienststart verwenden.
Nachdem ich alle Features identisch zum ersten Domaincontroller installiert habe, funktionierte der gMSA nicht mehr - auch nicht nach entfernen dieser Features.

Abgerufen von „https://wiki.wingeav.de/index.php?title=Group_Managed_Service_Account&oldid=94