Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
it-security:gmsa [2023/12/07 13:42] – RSAT Powershell Befehl hinzugefügt psycoreit-security:gmsa [2024/01/28 22:25] (aktuell) psycore
Zeile 1: Zeile 1:
-{{template>vorlagen:progress}} +{{tag>deutsch startpage it-security windows active-directory}}
 ====== Group Managed Service Accounts ====== ====== Group Managed Service Accounts ======
  
Zeile 46: Zeile 45:
 > Ab dem Windows 10-Update vom Oktober 2018 ist RSAT als Sammlung von Features bei Bedarf in Windows 10 selbst enthalten. Anstatt ein RSAT-Paket herunterzuladen, können Sie jetzt einfach zu Optionale Features verwalten unter Einstellungen navigieren und auf Feature hinzufügen klicken, um die Liste der verfügbaren RSAT-Tools anzuzeigen. Wählen Sie die gewünschten RSAT-Tools aus, und installieren Sie sie. Um den Installationsfortschritt anzuzeigen, klicken Sie auf die Schaltfläche Zurück, um den Status auf der Seite Optionale Features verwalten anzuzeigen. > Ab dem Windows 10-Update vom Oktober 2018 ist RSAT als Sammlung von Features bei Bedarf in Windows 10 selbst enthalten. Anstatt ein RSAT-Paket herunterzuladen, können Sie jetzt einfach zu Optionale Features verwalten unter Einstellungen navigieren und auf Feature hinzufügen klicken, um die Liste der verfügbaren RSAT-Tools anzuzeigen. Wählen Sie die gewünschten RSAT-Tools aus, und installieren Sie sie. Um den Installationsfortschritt anzuzeigen, klicken Sie auf die Schaltfläche Zurück, um den Status auf der Seite Optionale Features verwalten anzuzeigen.
 <sup>[[https://learn.microsoft.com/de-de/windows-server/remote/remote-server-administration-tools]]</sup> <sup>[[https://learn.microsoft.com/de-de/windows-server/remote/remote-server-administration-tools]]</sup>
- 
-Wenn die Powershell noch geöffnet ist, kann man die Installation auch per Befehl anstarten: 
- 
-<code powershell> 
-Install-WindowsFeature -IncludeAllSubFeature RSAT 
-</code> 
  
 Werden die RSAT Tools aktiviert, muss das ActiveDirectory Modul importiert werden: Werden die RSAT Tools aktiviert, muss das ActiveDirectory Modul importiert werden:
Zeile 86: Zeile 79:
  
 {{:it-security:screenshot_2023-11-30_154419.png?600|}} {{:it-security:screenshot_2023-11-30_154419.png?600|}}
 +
 +===== Berechtigungen ändern =====
 +
 +==== Dienste ====
 +
 +**PowerShell 7 wird benötigt**
 +
 +<code powershell>
 +PS C:\Users\PSY> $creds = Get-Credential
 +
 +PowerShell credential request
 +Enter your credentials.
 +User: DOMAIN\PSY
 +Password for user DOMAIN\PSY: *****************
 +
 +PS C:\Users\PSY> Set-Service -name "Service" -Credential $creds
 +</code>
 +
 +===== gMSA Account löschen =====
 +
 +Bei der Löschung eines gMSA Accounts ist es wichtig, dass auch die Zuordnungen und Berechtigungen mit entfernt werden. Hierzu geht man wie folgt vor:
 +
 +  * Host-Zuweisung prüfen
 +  * Zuweisung aufheben
 +  * Gruppenzugehörigkeit prüfen
 +  * Gruppenzugehörigkeit löschen
 +  * gMSA Account aus AD löschen
 +
 +==== Host Zuweisung prüfen ====
 +
 +<code powershell>
 +Get-ADServiceAccount -Identity <ACCOUNTNAME> -Properties PrincipalsAllowedToRetrieveManagedPassword
 +</code>
 +
 +==== Zuweisung aufheben ====
 +
 +<code powershell>
 +Set-ADServiceAccount <ACCOUNTNAME> -PrincipalsAllowedToRetrieveManagedPassword $NULL -PassThru
 +Test-ADServiceAccount <ACCOUNTNAME>$
 +</code>
 +
 +==== Gruppenzugehörigkeit prüfen ====
 +
 +<code powershell>
 +$ADGroup = (Get-ADServiceAccount -Identity <ACCOUNTNAME>$ -Properties MemberOf).MemberOf
 +$ADGroup | Get-ADGroup | Select-Object Name
 +</code>
 +
 +==== Gruppenzugehörigkeit löschen ====
 +
 +<code powershell>
 +Remove-ADPrincipalGroupMembership <ACCOUNTNAME>$ -MemberOf $ADGroup
 +</code>
 +
 +==== gMSA Account aus AD löschen ====
 +
 +<code powershell>
 +Remove-ADServiceAccount -Identity <ACCOUNTNAME>
 +Get-ADServiceAccount -Identity <ACCOUNTNAME>
 +</code>
  
 ---- ----
Zeile 91: Zeile 144:
  
   * [[https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/]]   * [[https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/]]
 +  * [[https://www.der-windows-papst.de/2022/03/11/uninstall-group-managed-service-account/]]