{{tag>deutsch startpage it-security windows active-directory}}
====== Group Managed Service Accounts ======
===== Sicherheitshinweise =====
Dieses Tutorial zeigt nur den generellen Ablauf. Je nach Unternehmensstruktur, ist ein entsprechendes Berechtigungskonzept im Vorfeld zu planen. Wichtige Fragen, die vorher geklärt werden sollten:
* Wie sollen Berechtigungen vergeben werden (Gruppenberechtigungen, Einzleberechtigungen)?
* Wie strukturieren wir unsere gMSA Konten (pro Server, pro Dienst etc.)?
===== Vorbereitungen =====
Root Key auf dem DC anlegen:
Add-KdsRootKey -EffectiveImmediately
Anschließend 10 Stunden warten, um sicherzustellen, dass die Replikation vollständig erledigt ist.
===== gMSA-Konto =====
==== anlegen ====
Auf dem DC:
New-ADServiceAccount -Name -DNSHostName .. -PrincipalsAllowedToRetrieveManagedPassword $
==== testen ====
Auf dem Zielsystem:
Test-ADServiceAccount
Bei Erfolg, meldet die Konsole ''True''
=== Bei Fehlern auf dem Zielsystem ===
Eventuell müssen die RSAT-Tools aktiviert werden. Aussage von Microsoft hierzu:
> Ab dem Windows 10-Update vom Oktober 2018 ist RSAT als Sammlung von Features bei Bedarf in Windows 10 selbst enthalten. Anstatt ein RSAT-Paket herunterzuladen, können Sie jetzt einfach zu Optionale Features verwalten unter Einstellungen navigieren und auf Feature hinzufügen klicken, um die Liste der verfügbaren RSAT-Tools anzuzeigen. Wählen Sie die gewünschten RSAT-Tools aus, und installieren Sie sie. Um den Installationsfortschritt anzuzeigen, klicken Sie auf die Schaltfläche Zurück, um den Status auf der Seite Optionale Features verwalten anzuzeigen.
[[https://learn.microsoft.com/de-de/windows-server/remote/remote-server-administration-tools]]
Werden die RSAT Tools aktiviert, muss das ActiveDirectory Modul importiert werden:
import-module ActiveDirectory
===== Berechtigungen =====
Die Berechtigungen können nun vergeben werden, wie man diese benötigt. Entweder durch Zuweisen einer Sicherheitsgruppe im AD, oder als lokaler Administrator auf dem Zielsystem.
===== Dienste =====
Nun können Dienste mit diesem Benutzer versorgt werden. Hierzu einfach die Dienst Konsole öffnen und die Eigenschaften des entsprechenden Dienstes öffnen:
* ''Anmelden'' Reiter öffnen
* Selektion ''Dieses Konto''
* '''' aus der Domäne hinterlegen
* ''Passwort'' Felder leeren
* Dialog bestätigen
{{:it-security:screenshot_2023-11-30_154322.png?600|}}
===== Aufgabenplanung =====
Um eine Aufgabe im Kontext des gMSA Accounts auszuführen, muss diese Aufgabe mit der Kommandozeile angepasst werden
schtasks /Change /TN "" /RU ".\$" /RP ""
Möglicherweise muss dem Account das Recht gewährt werden, sich als Stapeklverarbeitungsauftrag anmelden zu dürfen:
{{:it-security:screenshot_2023-11-30_154419.png?600|}}
===== Berechtigungen ändern =====
==== Dienste ====
**PowerShell 7 wird benötigt**
PS C:\Users\PSY> $creds = Get-Credential
PowerShell credential request
Enter your credentials.
User: DOMAIN\PSY
Password for user DOMAIN\PSY: *****************
PS C:\Users\PSY> Set-Service -name "Service" -Credential $creds
===== gMSA Account löschen =====
Bei der Löschung eines gMSA Accounts ist es wichtig, dass auch die Zuordnungen und Berechtigungen mit entfernt werden. Hierzu geht man wie folgt vor:
* Host-Zuweisung prüfen
* Zuweisung aufheben
* Gruppenzugehörigkeit prüfen
* Gruppenzugehörigkeit löschen
* gMSA Account aus AD löschen
==== Host Zuweisung prüfen ====
Get-ADServiceAccount -Identity -Properties PrincipalsAllowedToRetrieveManagedPassword
==== Zuweisung aufheben ====
Set-ADServiceAccount -PrincipalsAllowedToRetrieveManagedPassword $NULL -PassThru
Test-ADServiceAccount $
==== Gruppenzugehörigkeit prüfen ====
$ADGroup = (Get-ADServiceAccount -Identity $ -Properties MemberOf).MemberOf
$ADGroup | Get-ADGroup | Select-Object Name
==== Gruppenzugehörigkeit löschen ====
Remove-ADPrincipalGroupMembership $ -MemberOf $ADGroup
==== gMSA Account aus AD löschen ====
Remove-ADServiceAccount -Identity
Get-ADServiceAccount -Identity
----
Quellen:
* [[https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/]]
* [[https://www.der-windows-papst.de/2022/03/11/uninstall-group-managed-service-account/]]