Group Managed Service Account (gMSA) konfigurieren

User-Identety

Ein Group Managed Service Account ist die ideale Identitätslösung für Dienste, welche auf mehreren Servern ausgeführt werden. Die Verwendung von gMSA erfordert weniger Verwaltungsaufwand, da die Kennwortverwaltung durch das Active Directory übernommen wird.

Typische Anwendungsfälle sind zum Beispiel Netzwerklastenausgleichs -oder IIS-Serverfarmen, bei denen dasselbe Dienstkonto auf mehreren Servern genutzt wird. Alle Server in einer solchen Servergruppe erhalten den selben Dienstprinzipal für die Authentifizierung. Es werden auch Offline-Server unterstützt, welche über einen gewissen Zeitraum nicht mit dem Netzwerk verbunden sind. Sobald der Server wieder Online ist, wird das Kennwort synchronisiert und der Dienst wird ausgeführt.

Group Managed Service Accounts konfigurieren

Voraussetzung für den Betrieb von gMSA ist eine auf mindestens Server 2012 laufende Windows Funktionsdomäne. Auf den Servern auf denen die Group Managed Service Accounts ausgeführt werden sollen, müssen mindestens Server 2012 oder Windows 8 sein.

Es wird der Microsoft Key Distribution Service (KDC) für die Erstellung und Verwaltung der gMSA-Kennwörter verwendet. Daher muss mit folgenden Befehl ein sogenannter Stammschlüssel (KDS Root Key) erstellt werden.

Add-KDSRootKey –EffectiveImmediately

Danach kann der erste Group Managed Service Account erstellt werden. Zuerst wird eine AD-Gruppe erstellt und alle Server der Farm hinzugefügt.

Mit dem Befehlt wird das gMSA-Konto „MeinGMSAservice“ mit dem DNSHostName „
MeinGMSAservice.MeineDomain.de“ erstellt.

New-ADServiceAccount "MeineGMSAservice" -DNSHostName "MeinGMSAservice.MeineDomain.de" –PrincipalsAllowedToRetrieveManagedPassword "AD-Gruppe"

Alle Server der AD-Gruppe sind somit für die Nutzung mit einem verwalteten Konto berechtigt.

Im nächsten Schritt muss der Group Managed Service Account auf allen Servern der Farm installiert und getestet werden.

Install-AdServiceAccount -Identity "MeineGMSAservice"
Test-AdServiceAccount "MeineGMSAservice"

Das Konto kann jetzt bei einen Dienst eingetragen werden. Zu beachten ist, dass das Kennwort leer bleibt und dem Kontonamen ein „$“ angehängt wird.

Wird das verwaltete Konto nicht mehr benötigt, kann es mit dem Befehl deinstalliert werden:

Remove-ADServiceAccount –Identity "MeinGMSAservice"