Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
it-security:gmsa [2023/11/30 22:15] – angelegt psycoreit-security:gmsa [2024/01/28 21:25] (aktuell) psycore
Zeile 1: Zeile 1:
-{{template>vorlagen:progress}} +{{tag>deutsch startpage it-security windows active-directory}}
 ====== Group Managed Service Accounts ====== ====== Group Managed Service Accounts ======
  
Zeile 80: Zeile 79:
  
 {{:it-security:screenshot_2023-11-30_154419.png?600|}} {{:it-security:screenshot_2023-11-30_154419.png?600|}}
 +
 +===== Berechtigungen ändern =====
 +
 +==== Dienste ====
 +
 +**PowerShell 7 wird benötigt**
 +
 +<code powershell>
 +PS C:\Users\PSY> $creds = Get-Credential
 +
 +PowerShell credential request
 +Enter your credentials.
 +User: DOMAIN\PSY
 +Password for user DOMAIN\PSY: *****************
 +
 +PS C:\Users\PSY> Set-Service -name "Service" -Credential $creds
 +</code>
 +
 +===== gMSA Account löschen =====
 +
 +Bei der Löschung eines gMSA Accounts ist es wichtig, dass auch die Zuordnungen und Berechtigungen mit entfernt werden. Hierzu geht man wie folgt vor:
 +
 +  * Host-Zuweisung prüfen
 +  * Zuweisung aufheben
 +  * Gruppenzugehörigkeit prüfen
 +  * Gruppenzugehörigkeit löschen
 +  * gMSA Account aus AD löschen
 +
 +==== Host Zuweisung prüfen ====
 +
 +<code powershell>
 +Get-ADServiceAccount -Identity <ACCOUNTNAME> -Properties PrincipalsAllowedToRetrieveManagedPassword
 +</code>
 +
 +==== Zuweisung aufheben ====
 +
 +<code powershell>
 +Set-ADServiceAccount <ACCOUNTNAME> -PrincipalsAllowedToRetrieveManagedPassword $NULL -PassThru
 +Test-ADServiceAccount <ACCOUNTNAME>$
 +</code>
 +
 +==== Gruppenzugehörigkeit prüfen ====
 +
 +<code powershell>
 +$ADGroup = (Get-ADServiceAccount -Identity <ACCOUNTNAME>$ -Properties MemberOf).MemberOf
 +$ADGroup | Get-ADGroup | Select-Object Name
 +</code>
 +
 +==== Gruppenzugehörigkeit löschen ====
 +
 +<code powershell>
 +Remove-ADPrincipalGroupMembership <ACCOUNTNAME>$ -MemberOf $ADGroup
 +</code>
 +
 +==== gMSA Account aus AD löschen ====
 +
 +<code powershell>
 +Remove-ADServiceAccount -Identity <ACCOUNTNAME>
 +Get-ADServiceAccount -Identity <ACCOUNTNAME>
 +</code>
  
 ---- ----
Zeile 85: Zeile 144:
  
   * [[https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/]]   * [[https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/]]
 +  * [[https://www.der-windows-papst.de/2022/03/11/uninstall-group-managed-service-account/]]