Ce tutoriel ne montre que la procédure générale. Selon la structure de l'entreprise, un concept d'autorisation correspondant doit être planifié au préalable. Questions importantes à clarifier au préalable :

• Comment les autorisations doivent-elles être attribuées (autorisations de groupe, autorisations individuelles) ?
• Comment structurer nos comptes gMSA (par serveur, par service, etc.) ?

Créer une clé racine sur le DC :

Add-KdsRootKey -EffectiveImmediately

Attendre ensuite 10 heures pour s'assurer que la réplication est complètement terminée.

Sur le DC :

New-ADServiceAccount -Name <ACCOUNTNAME> -DNSHostName <ACCOUNTNAME>.<DOMAIN>.<TLD> -PrincipalsAllowedToRetrieveManagedPassword <COMPUTERNAME>$

Sur le système cible :

Test-ADServiceAccount <ACCOUNTNAME>

En cas de succès, la console signale True

Les outils RSAT doivent éventuellement être activés. Déclaration de Microsoft à ce sujet :

Depuis la mise à jour de Windows 10 d'octobre 2018, le RSAT est inclus dans Windows 10 lui-même en tant que collection de fonctionnalités si nécessaire. Au lieu de télécharger un pack RSAT, vous pouvez maintenant simplement naviguer vers Gérer les fonctionnalités facultatives sous Paramètres et cliquer sur Ajouter une fonctionnalité pour afficher la liste des outils RSAT disponibles. Sélectionnez les outils RSAT souhaités et installez-les. Pour voir la progression de l'installation, cliquez sur le bouton Précédent afin d'afficher le statut sur la page Gérer les fonctionnalités optionnelles.

^{https://learn.microsoft.com/de-de/windows-server/remote/remote-server-administration-tools}

Si Powershell est encore ouvert, vous pouvez également lancer l'installation avec cette commande :

Install-WindowsFeature -IncludeAllSubFeature RSAT

Après l'installation, un redémarrage est éventuellement nécessaire et le module ActiveDirectory doit être importé dans PowerShell :

import-module ActiveDirectory

Les autorisations peuvent maintenant être attribuées selon les besoins. Soit en attribuant un groupe de sécurité dans AD, soit en tant qu'administrateur local sur le système cible. Les concepts d'autorisation ne devraient toujours contenir que les autorisations qui sont vraiment nécessaires.

Les services peuvent maintenant être lancés dans ce contexte utilisateur. Pour cela, il suffit d'ouvrir la console de service et de naviguer jusqu'aux propriétés du service :

• Se connecter Ouvrir l'onglet
• Sélectionner Ce compte
• <ACCOUNTNAME> Déposer depuis le domaine
• Mot de passe Vider les champs
• confirmer le dialogue

Pour exécuter une tâche dans le contexte du compte gMSA, cette tâche doit être adaptée à l'aide de la ligne de commande

schtasks /Change /TN "<AUFGABENNAME>" /RU "<DOMAIN>.<TLD>\<ACCOUNTNAME>$" /RP ""

Il est possible que le compte doive se voir accorder le droit de se connecter en tant que tâche de traitement par lots :

Sources :

• https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/