Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- fr:it-security:gmsa [2023/12/25 20:48] – Automatic translation 65.21.237.6
+++ fr:it-security:gmsa [Unbekanntes Datum] (aktuell) – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
-====== Comptes de services gérés de groupe ======
-===== Avis de sécurité =====
-Ce tutoriel ne montre que la procédure générale. Selon la structure de l'entreprise, un concept d'autorisation correspondant doit être planifié au préalable. Questions importantes à clarifier au préalable :
-  * Comment les autorisations doivent-elles être attribuées (autorisations de groupe, autorisations individuelles) ?
-  * Comment structurer nos comptes gMSA (par serveur, par service, etc.) ?
-===== Préparatifs =====
-Créer une clé racine sur le DC :
-<code powershell>
-Add-KdsRootKey -EffectiveImmediately
-</code>
-Attendre ensuite 10 heures pour s'assurer que la réplication est complètement terminée.
-===== Compte gMSA =====
-==== créer ====
-Sur le DC :
-<code powershell>
-New-ADServiceAccount -Name <ACCOUNTNAME> -DNSHostName <ACCOUNTNAME>.<DOMAIN>.<TLD> -PrincipalsAllowedToRetrieveManagedPassword <COMPUTERNAME>$
-</code>
-==== tester ====
-Sur le système cible :
-<code powershell>
-Test-ADServiceAccount <ACCOUNTNAME>
-</code>
-En cas de succès, la console signale ''True''
-=== En cas d'erreur sur le système cible ===
-Les outils RSAT doivent éventuellement être activés. Déclaration de Microsoft à ce sujet :
-> Depuis la mise à jour de Windows 10 d'octobre 2018, le RSAT est inclus dans Windows 10 lui-même en tant que collection de fonctionnalités si nécessaire. Au lieu de télécharger un pack RSAT, vous pouvez maintenant simplement naviguer vers Gérer les fonctionnalités facultatives sous Paramètres et cliquer sur Ajouter une fonctionnalité pour afficher la liste des outils RSAT disponibles. Sélectionnez les outils RSAT souhaités et installez-les. Pour voir la progression de l'installation, cliquez sur le bouton Précédent afin d'afficher le statut sur la page Gérer les fonctionnalités optionnelles.
-<sup>[[https://learn.microsoft.com/de-de/windows-server/remote/remote-server-administration-tools]]</sup>
-Si Powershell est encore ouvert, vous pouvez également lancer l'installation avec cette commande :
-<code powershell>
-Install-WindowsFeature -IncludeAllSubFeature RSAT
-</code>
-Après l'installation, un redémarrage est éventuellement nécessaire et le module ActiveDirectory doit être importé dans PowerShell :
-<code powershell>
-import-module ActiveDirectory
-</code>
-===== Autorisations =====
-Les autorisations peuvent maintenant être attribuées selon les besoins. Soit en attribuant un groupe de sécurité dans AD, soit en tant qu'administrateur local sur le système cible. Les concepts d'autorisation ne devraient toujours contenir que les autorisations qui sont vraiment nécessaires.
-===== Services =====
-Les services peuvent maintenant être lancés dans ce contexte utilisateur. Pour cela, il suffit d'ouvrir la console de service et de naviguer jusqu'aux propriétés du service :
-  * ''Se connecter'' Ouvrir l'onglet
-  * Sélectionner ''Ce compte''
-  * ''<ACCOUNTNAME>'' Déposer depuis le domaine
-  * ''Mot de passe'' Vider les champs
-  * confirmer le dialogue
-{{it-security:screenshot_2023-11-30_154322.png?600|}}
-===== Planification des tâches =====
-Pour exécuter une tâche dans le contexte du compte gMSA, cette tâche doit être adaptée à l'aide de la ligne de commande
-<code dos>
-schtasks /Change /TN "<AUFGABENNAME>" /RU "<DOMAIN>.<TLD>\<ACCOUNTNAME>$" /RP ""
-</code>
-Il est possible que le compte doive se voir accorder le droit de se connecter en tant que tâche de traitement par lots :
-{{it-security:screenshot_2023-11-30_154419.png?600|}}
-----
-Sources :
-  * [[https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/]]