{{tag>deutsch startpage it-security windows active-directory}}
====== Group Managed Service Accounts ======

===== Sicherheitshinweise =====

Dieses Tutorial zeigt nur den generellen Ablauf. Je nach Unternehmensstruktur, ist ein entsprechendes Berechtigungskonzept im Vorfeld zu planen. Wichtige Fragen, die vorher geklärt werden sollten:

  * Wie sollen Berechtigungen vergeben werden (Gruppenberechtigungen, Einzleberechtigungen)?
  * Wie strukturieren wir unsere gMSA Konten (pro Server, pro Dienst etc.)?

===== Vorbereitungen =====

Root Key auf dem DC anlegen:

<code powershell>
Add-KdsRootKey -EffectiveImmediately
</code>

Anschließend 10 Stunden warten, um sicherzustellen, dass die Replikation vollständig erledigt ist.

===== gMSA-Konto =====

==== anlegen ====

Auf dem DC:

<code powershell>
New-ADServiceAccount -Name <ACCOUNTNAME> -DNSHostName <ACCOUNTNAME>.<DOMAIN>.<TLD> -PrincipalsAllowedToRetrieveManagedPassword <COMPUTERNAME>$
</code>

==== testen ====

Auf dem Zielsystem:

<code powershell>
Test-ADServiceAccount <ACCOUNTNAME>
</code>

Bei Erfolg, meldet die Konsole ''True''

=== Bei Fehlern auf dem Zielsystem ===

Eventuell müssen die RSAT-Tools aktiviert werden. Aussage von Microsoft hierzu:

> Ab dem Windows 10-Update vom Oktober 2018 ist RSAT als Sammlung von Features bei Bedarf in Windows 10 selbst enthalten. Anstatt ein RSAT-Paket herunterzuladen, können Sie jetzt einfach zu Optionale Features verwalten unter Einstellungen navigieren und auf Feature hinzufügen klicken, um die Liste der verfügbaren RSAT-Tools anzuzeigen. Wählen Sie die gewünschten RSAT-Tools aus, und installieren Sie sie. Um den Installationsfortschritt anzuzeigen, klicken Sie auf die Schaltfläche Zurück, um den Status auf der Seite Optionale Features verwalten anzuzeigen.
<sup>[[https://learn.microsoft.com/de-de/windows-server/remote/remote-server-administration-tools]]</sup>

Werden die RSAT Tools aktiviert, muss das ActiveDirectory Modul importiert werden:

<code powershell>
import-module ActiveDirectory
</code>

===== Berechtigungen =====

Die Berechtigungen können nun vergeben werden, wie man diese benötigt. Entweder durch Zuweisen einer Sicherheitsgruppe im AD, oder als lokaler Administrator auf dem Zielsystem.

===== Dienste =====

Nun können Dienste mit diesem Benutzer versorgt werden. Hierzu einfach die Dienst Konsole öffnen und die Eigenschaften des entsprechenden Dienstes öffnen:

  * ''Anmelden'' Reiter öffnen
  * Selektion ''Dieses Konto''
  * ''<ACCOUNTNAME>'' aus der Domäne hinterlegen
  * ''Passwort'' Felder leeren
  * Dialog bestätigen

{{:it-security:screenshot_2023-11-30_154322.png?600|}}

===== Aufgabenplanung =====

Um eine Aufgabe im Kontext des gMSA Accounts auszuführen, muss diese Aufgabe mit der Kommandozeile angepasst werden

<code dos>
schtasks /Change /TN "<AUFGABENNAME>" /RU "<DOMAIN>.<TLD>\<ACCOUNTNAME>$" /RP ""
</code>

Möglicherweise muss dem Account das Recht gewährt werden, sich als Stapeklverarbeitungsauftrag anmelden zu dürfen:

{{:it-security:screenshot_2023-11-30_154419.png?600|}}

===== Berechtigungen ändern =====

==== Dienste ====

**PowerShell 7 wird benötigt**

<code powershell>
PS C:\Users\PSY> $creds = Get-Credential

PowerShell credential request
Enter your credentials.
User: DOMAIN\PSY
Password for user DOMAIN\PSY: *****************

PS C:\Users\PSY> Set-Service -name "Service" -Credential $creds
</code>

===== gMSA Account löschen =====

Bei der Löschung eines gMSA Accounts ist es wichtig, dass auch die Zuordnungen und Berechtigungen mit entfernt werden. Hierzu geht man wie folgt vor:

  * Host-Zuweisung prüfen
  * Zuweisung aufheben
  * Gruppenzugehörigkeit prüfen
  * Gruppenzugehörigkeit löschen
  * gMSA Account aus AD löschen

==== Host Zuweisung prüfen ====

<code powershell>
Get-ADServiceAccount -Identity <ACCOUNTNAME> -Properties PrincipalsAllowedToRetrieveManagedPassword
</code>

==== Zuweisung aufheben ====

<code powershell>
Set-ADServiceAccount <ACCOUNTNAME> -PrincipalsAllowedToRetrieveManagedPassword $NULL -PassThru
Test-ADServiceAccount <ACCOUNTNAME>$
</code>

==== Gruppenzugehörigkeit prüfen ====

<code powershell>
$ADGroup = (Get-ADServiceAccount -Identity <ACCOUNTNAME>$ -Properties MemberOf).MemberOf
$ADGroup | Get-ADGroup | Select-Object Name
</code>

==== Gruppenzugehörigkeit löschen ====

<code powershell>
Remove-ADPrincipalGroupMembership <ACCOUNTNAME>$ -MemberOf $ADGroup
</code>

==== gMSA Account aus AD löschen ====

<code powershell>
Remove-ADServiceAccount -Identity <ACCOUNTNAME>
Get-ADServiceAccount -Identity <ACCOUNTNAME>
</code>

----
Quellen:

  * [[https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/]]
  * [[https://www.der-windows-papst.de/2022/03/11/uninstall-group-managed-service-account/]]