Group Managed Service Accounts

Letzte Aktualisierung am 21.07.2020, 14:07:26 Uhr

Bereits mit Windows Server 2008 hat Microsoft sogenannte Managed Service Accounts (MSA) eingeführt. Dabei war zu beachten, dass ein MSA genau einem Server zugeordnet werden konnte. Bei größeren Umgebungen führte das dazu, dass nach kürzester Zeit sehr viele MSA vorhanden waren. Mit Windows Server 2012 hat Microsoft dazu gelernt und die Group Managed Service Accounts (GMSA) eingeführt. Wie das erste Wort „Group (Gruppe“ schon verrät, ist es nun möglich einen MSA an eine Gruppe von Computer zu verknüpfen. Grundsätzlich können alle Vorgänge für einen GMSA nur über die Powershell durchgeführt werden.

Bereitstellen eines Group Managed Service Accounts
Vorrausetzung ist, dass mindesten ein Domain Controller (DC) auf Basis Von Windows Server 2012 oder höher im Netzwerk vorhanden ist. Grundsätzlich können GMSA’s nur auf Windows 8 bzw. Server 2012 oder höher benutzt werden. Das ist einfach vorgegeben.

Auf dem DC welcher unter Windows Server 2012R2 läuft, starten wir die PowerShell als „Administrator“.
gmsa-ps-admin-mode

Dort geben wir folgende Befehle ein:

PS C:\> Get-KdsRootKey

AttributeOfWrongFormat :
KeyValue               : {250, 249, 133, 145...}
EffectiveTime          : 01.09.2015 14:21:30
CreationTime           : 01.09.2015 14:21:30
IsFormatValid          : True
DomainController       : CN=WIN-VONG5FK65QT,OU=Domain Controllers,DC=x,DC=y,DC=z
ServerConfiguration    : Microsoft.KeyDistributionService.Cmdlets.KdsServerConfiguration
KeyId                  : 7e2ef3a4-1bda-2f8b-5199-d8ec94c78f96
VersionNumber          : 1

In meinen Fall existiert solch ein „RootKey“ bereits. Bei einer frischen Installation ist dieser nicht vorhanden und kann mit diesem Befehl erzeugt werden:

Add-KDSRootKey –EffectiveImmediately

Je nach Größe des Active Directory und Anzahl der DCs kann es bis zu 10 Stunden dauern, bis alle anderen DCs bereit sind auf GMSA Anfragen zu antworten.

Da ich grundsätzlich alle Zugriffsberechtigungen über Gruppen abbilde, erzeuge ich im Snapin „Active Directory-Benutzer und -Computer“ in der Organisationseinheit „Managed Service Accounts“ eine Sicherheitsgruppe. Diese erhält den Namen „GGGMSA_ADFS“ (Global Group Group Managed Service Account _ Servicename).

gmsa-ad-security-group
Mitglied dieser Gruppe werden alle Computerkonten, die später den GMSA nutzen sollen/dürfen/müssen. Die Gruppe mit einem Doppelklick öffnen, in den Reiter „Mitglieder“ wechseln und auf „Hinzufügen“ klicken. Bei Objekttyp nicht vergessen, den Haken bei Computer zu setzen, sonst findet man nichts. 🙂

gmsa-ad-security-group-add-member

Nun wechseln wir wieder in die PowerShell und legen den eigentlichen gMSA an:

New-ADServiceAccount GMSA-ADFS -DNSHostName adfs.x.y.z -PrincipalsAllowedToRetrieveManagedPassword "GGGMSA_ADFS" -ManagedPasswordIntervalInDays 30

Hier kommt die zuvor angelegte Gruppe wieder ins Spiel. Der Parameter „ManagedPasswordIntervalInDays“ gibt an, nach wie vielen Tagen das Passwort automatisch geändert werden soll.
Bevor man den gMSA auf den gewünschten Servern nutzen kann, muss dieser neugestartet werden damit die neue Gruppenzugehörigkeit übernommen wird. Danach startet man eine PowerShell (wieder als Administrator) und gibt folgende Befehle ein:

Install-AdServiceAccount GMSA-ADFS
Test-AdServiceAccount GMSA-ADFS

Das Konto kann jetzt wie der Name verrät kann dieser gMSA nun bei der Installation der Rolle „ADFS“ genutzt werden.
Natürlich lässt sich ein gMSA auch für einen Dienst auswählen und nutzen.

Im Detail könnt ihr alles nochmal im Blog von Premier Field Engineering (PFE) nachlesen.

Abonnieren
Benachrichtige mich bei
1 Kommentar
neueste
älteste
Inline Feedbacks
View all comments
Windows: Group Managed Service Account für Dienste konfigurieren | Andys Blog – Linux & Windows
11.03.2018 17:03

[…] Wydler – Group Managed Service Accounts […]