Account del servizio gestito di gruppo

Gli account del servizio gestito (MSA) sono stati introdotti in Windows Server 2008 R2 per gestire (modificare) automaticamente le password degli account del servizio. Utilizzando MSA, è possibile ridurre notevolmente il rischio che gli account di sistema che eseguono servizi di sistema vengano compromessi. MSA ha un grosso problema che è l'utilizzo di tale account di servizio su un solo computer. Significa che gli account del servizio MSA non possono funzionare con i servizi cluster o NLB, che operano contemporaneamente su più server e utilizzano lo stesso account e password. Per risolvere questo problema, Microsoft ha aggiunto la funzionalità diGroup Managed Service Accounts (gMSA) a Windows Server 2012.

Per creare un gMSA, dobbiamo seguire i passaggi indicati di seguito:

Step 1- Crea la chiave radice KDS. Viene utilizzato dal servizio KDS su DC per generare password.

Per utilizzare immediatamente la chiave nell'ambiente di test, è possibile eseguire il comando PowerShell:

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Per verificare se viene creato correttamente o meno, eseguiamo il comando PowerShell:

Get-KdsRootKey

Step 2 - Per creare e configurare gMSA → Apri il terminale Powershell e digita -

Nuovo - ADServiceAccount - nome gmsa1 - DNSHostNamedc1.example.com - PrincipalsAllowedToRetrieveManagedPassword "gmsa1Group"

In quale,

  • gmsa1 è il nome dell'account gMSA da creare.

  • dc1.example.com è il nome del server DNS.

  • gmsa1Groupè il gruppo di Active Directory che include tutti i sistemi che devono essere utilizzati. Questo gruppo dovrebbe essere creato prima nei gruppi.

Per verificarlo, vai a → Server Manager → Strumenti → Utenti e computer di Active Directory → Account del servizio gestito.

Step 3 - Per installare gMA su un server → apri il terminale PowerShell e digita i seguenti comandi -

  • Installa - ADServiceAccount - Identity gmsa1
  • Test - ADServiceAccount gmsa1

Il risultato dovrebbe essere "Vero" dopo aver eseguito il secondo comando, come mostrato nella schermata riportata di seguito.

Step 4 - Vai alle proprietà del servizio, specifica che il servizio verrà eseguito con un file gMSA account. NelThis account casella nel Log onscheda digitare il nome dell'account di servizio. Alla fine del nome utilizzare il simbolo$, non è necessario specificare la password. Dopo aver salvato le modifiche, il servizio deve essere riavviato.

L'account otterrà il "Log On as a Service" e la password verrà recuperata automaticamente.