Group Managed Service Accounts

Dieses Tutorial zeigt nur den generellen Ablauf. Je nach Unternehmensstruktur, ist ein entsprechendes Berechtigungskonzept im Vorfeld zu planen. Wichtige Fragen, die vorher geklärt werden sollten:

• Wie sollen Berechtigungen vergeben werden (Gruppenberechtigungen, Einzeleberechtigungen)?
• Wie strukturieren wir unsere gMSA Konten (pro Server, pro Dienst etc.)?

Root Key auf dem DC anlegen:

Add-KdsRootKey -EffectiveImmediately

Anschließend 10 Stunden warten, um sicherzustellen, dass die Replikation vollständig erledigt ist.

Auf dem DC:

New-ADServiceAccount -Name <ACCOUNTNAME> -DNSHostName <ACCOUNTNAME>.<DOMAIN>.<TLD> -PrincipalsAllowedToRetrieveManagedPassword <COMPUTERNAME>$

Auf dem Zielsystem:

Test-ADServiceAccount <ACCOUNTNAME>

Bei Erfolg, meldet die Konsole True

Eventuell müssen die RSAT-Tools aktiviert werden. Aussage von Microsoft hierzu:

Ab dem Windows 10-Update vom Oktober 2018 ist RSAT als Sammlung von Features bei Bedarf in Windows 10 selbst enthalten. Anstatt ein RSAT-Paket herunterzuladen, können Sie jetzt einfach zu Optionale Features verwalten unter Einstellungen navigieren und auf Feature hinzufügen klicken, um die Liste der verfügbaren RSAT-Tools anzuzeigen. Wählen Sie die gewünschten RSAT-Tools aus, und installieren Sie sie. Um den Installationsfortschritt anzuzeigen, klicken Sie auf die Schaltfläche Zurück, um den Status auf der Seite Optionale Features verwalten anzuzeigen.

^{https://learn.microsoft.com/de-de/windows-server/remote/remote-server-administration-tools}

Wenn die Powershell noch geöffnet ist, kann man die Installation auch mit diesem Kommando starten:

Install-WindowsFeature -IncludeAllSubFeature RSAT

Nach der Installation ist ggf. ein Neustart fällig und das ActiveDirectory Modul muss in PowerShell importiert werden:

import-module ActiveDirectory

Die Berechtigungen können nun nach Bedarf vergeben werden. Entweder durch Zuweisen einer Sicherheitsgruppe im AD, oder als lokaler Administrator auf dem Zielsystem. Berechtigungskonzepte sollten immer nur die Berechtigungen enthalten, die wirklich nötig sind.

Jetzt können Dienste in diesem Benutzerkontext gestartet werden. Hierzu einfach die Dienst Konsole öffnen und zu den Eigenschaften des Dienstes navigieren:

• Anmelden Reiter öffnen
• Selektion Dieses Konto
• <ACCOUNTNAME> aus der Domäne hinterlegen
• Passwort Felder leeren
• Dialog bestätigen

Um eine Aufgabe im Kontext des gMSA Accounts auszuführen, muss diese Aufgabe mit der Kommandozeile angepasst werden

schtasks /Change /TN "<AUFGABENNAME>" /RU "<DOMAIN>.<TLD>\<ACCOUNTNAME>$" /RP ""

Möglicherweise muss dem Account das Recht gewährt werden, sich als Stapeklverarbeitungsauftrag anmelden zu dürfen:

Quellen:

• https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/