Group Managed Service Accounts

Dieses Tutorial zeigt nur den generellen Ablauf. Je nach Unternehmensstruktur, ist ein entsprechendes Berechtigungskonzept im Vorfeld zu planen. Wichtige Fragen, die vorher geklärt werden sollten:

• Wie sollen Berechtigungen vergeben werden (Gruppenberechtigungen, Einzleberechtigungen)?
• Wie strukturieren wir unsere gMSA Konten (pro Server, pro Dienst etc.)?

Root Key auf dem DC anlegen:

Add-KdsRootKey -EffectiveImmediately

Anschließend 10 Stunden warten, um sicherzustellen, dass die Replikation vollständig erledigt ist.

Auf dem DC:

New-ADServiceAccount -Name <ACCOUNTNAME> -DNSHostName <ACCOUNTNAME>.<DOMAIN>.<TLD> -PrincipalsAllowedToRetrieveManagedPassword <COMPUTERNAME>$

Auf dem Zielsystem:

Test-ADServiceAccount <ACCOUNTNAME>

Bei Erfolg, meldet die Konsole True

Eventuell müssen die RSAT-Tools aktiviert werden. Aussage von Microsoft hierzu:

Ab dem Windows 10-Update vom Oktober 2018 ist RSAT als Sammlung von Features bei Bedarf in Windows 10 selbst enthalten. Anstatt ein RSAT-Paket herunterzuladen, können Sie jetzt einfach zu Optionale Features verwalten unter Einstellungen navigieren und auf Feature hinzufügen klicken, um die Liste der verfügbaren RSAT-Tools anzuzeigen. Wählen Sie die gewünschten RSAT-Tools aus, und installieren Sie sie. Um den Installationsfortschritt anzuzeigen, klicken Sie auf die Schaltfläche Zurück, um den Status auf der Seite Optionale Features verwalten anzuzeigen.

^{https://learn.microsoft.com/de-de/windows-server/remote/remote-server-administration-tools}

Werden die RSAT Tools aktiviert, muss das ActiveDirectory Modul importiert werden:

import-module ActiveDirectory

Die Berechtigungen können nun vergeben werden, wie man diese benötigt. Entweder durch Zuweisen einer Sicherheitsgruppe im AD, oder als lokaler Administrator auf dem Zielsystem.

Nun können Dienste mit diesem Benutzer versorgt werden. Hierzu einfach die Dienst Konsole öffnen und die Eigenschaften des entsprechenden Dienstes öffnen:

• Anmelden Reiter öffnen
• Selektion Dieses Konto
• <ACCOUNTNAME> aus der Domäne hinterlegen
• Passwort Felder leeren
• Dialog bestätigen

Um eine Aufgabe im Kontext des gMSA Accounts auszuführen, muss diese Aufgabe mit der Kommandozeile angepasst werden

schtasks /Change /TN "<AUFGABENNAME>" /RU "<DOMAIN>.<TLD>\<ACCOUNTNAME>$" /RP ""

Möglicherweise muss dem Account das Recht gewährt werden, sich als Stapeklverarbeitungsauftrag anmelden zu dürfen:

PowerShell 7 wird benötigt

PS C:\Users\PSY> $creds = Get-Credential
 
PowerShell credential request
Enter your credentials.
User: DOMAIN\PSY
Password for user DOMAIN\PSY: *****************
 
PS C:\Users\PSY> Set-Service -name "Service" -Credential $creds

Bei der Löschung eines gMSA Accounts ist es wichtig, dass auch die Zuordnungen und Berechtigungen mit entfernt werden. Hierzu geht man wie folgt vor:

• Host-Zuweisung prüfen
• Zuweisung aufheben
• Gruppenzugehörigkeit prüfen
• Gruppenzugehörigkeit löschen
• gMSA Account aus AD löschen

Get-ADServiceAccount -Identity <ACCOUNTNAME> -Properties PrincipalsAllowedToRetrieveManagedPassword

Set-ADServiceAccount <ACCOUNTNAME> -PrincipalsAllowedToRetrieveManagedPassword $NULL -PassThru
Test-ADServiceAccount <ACCOUNTNAME>$

$ADGroup = (Get-ADServiceAccount -Identity <ACCOUNTNAME>$ -Properties MemberOf).MemberOf
$ADGroup | Get-ADGroup | Select-Object Name

Remove-ADPrincipalGroupMembership <ACCOUNTNAME>$ -MemberOf $ADGroup

Remove-ADServiceAccount -Identity <ACCOUNTNAME>
Get-ADServiceAccount -Identity <ACCOUNTNAME>

Quellen:

• https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/
• https://www.der-windows-papst.de/2022/03/11/uninstall-group-managed-service-account/