Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
it-security:gmsa [2024/01/11 19:19] psycoreit-security:gmsa [2024/01/28 22:25] (aktuell) psycore
Zeile 1: Zeile 1:
-{{tag>startpage it-security windows active-directory}}+{{tag>deutsch startpage it-security windows active-directory}}
 ====== Group Managed Service Accounts ====== ====== Group Managed Service Accounts ======
  
Zeile 6: Zeile 6:
 Dieses Tutorial zeigt nur den generellen Ablauf. Je nach Unternehmensstruktur, ist ein entsprechendes Berechtigungskonzept im Vorfeld zu planen. Wichtige Fragen, die vorher geklärt werden sollten: Dieses Tutorial zeigt nur den generellen Ablauf. Je nach Unternehmensstruktur, ist ein entsprechendes Berechtigungskonzept im Vorfeld zu planen. Wichtige Fragen, die vorher geklärt werden sollten:
  
-  * Wie sollen Berechtigungen vergeben werden (Gruppenberechtigungen, Einzeleberechtigungen)?+  * Wie sollen Berechtigungen vergeben werden (Gruppenberechtigungen, Einzleberechtigungen)?
   * Wie strukturieren wir unsere gMSA Konten (pro Server, pro Dienst etc.)?   * Wie strukturieren wir unsere gMSA Konten (pro Server, pro Dienst etc.)?
  
Zeile 46: Zeile 46:
 <sup>[[https://learn.microsoft.com/de-de/windows-server/remote/remote-server-administration-tools]]</sup> <sup>[[https://learn.microsoft.com/de-de/windows-server/remote/remote-server-administration-tools]]</sup>
  
-Wenn die Powershell noch geöffnet istkann man die Installation auch mit diesem Kommando starten: +Werden die RSAT Tools aktiviertmuss das ActiveDirectory Modul importiert werden:
- +
-<code powershell> +
-Install-WindowsFeature -IncludeAllSubFeature RSAT +
-</code> +
- +
-Nach der Installation ist ggf. ein Neustart fällig und das ActiveDirectory Modul muss in PowerShell importiert werden:+
  
 <code powershell> <code powershell>
Zeile 60: Zeile 54:
 ===== Berechtigungen ===== ===== Berechtigungen =====
  
-Die Berechtigungen können nun nach Bedarf vergeben werden. Entweder durch Zuweisen einer Sicherheitsgruppe im AD, oder als lokaler Administrator auf dem Zielsystem. Berechtigungskonzepte sollten immer nur die Berechtigungen enthalten, die wirklich nötig sind.+Die Berechtigungen können nun vergeben werden, wie man diese benötigt. Entweder durch Zuweisen einer Sicherheitsgruppe im AD, oder als lokaler Administrator auf dem Zielsystem.
  
 ===== Dienste ===== ===== Dienste =====
  
-Jetzt können Dienste in diesem Benutzerkontext gestartet werden. Hierzu einfach die Dienst Konsole öffnen und zu den Eigenschaften des Dienstes navigieren:+Nun können Dienste mit diesem Benutzer versorgt werden. Hierzu einfach die Dienst Konsole öffnen und die Eigenschaften des entsprechenden Dienstes öffnen:
  
   * ''Anmelden'' Reiter öffnen   * ''Anmelden'' Reiter öffnen
Zeile 85: Zeile 79:
  
 {{:it-security:screenshot_2023-11-30_154419.png?600|}} {{:it-security:screenshot_2023-11-30_154419.png?600|}}
 +
 +===== Berechtigungen ändern =====
 +
 +==== Dienste ====
 +
 +**PowerShell 7 wird benötigt**
 +
 +<code powershell>
 +PS C:\Users\PSY> $creds = Get-Credential
 +
 +PowerShell credential request
 +Enter your credentials.
 +User: DOMAIN\PSY
 +Password for user DOMAIN\PSY: *****************
 +
 +PS C:\Users\PSY> Set-Service -name "Service" -Credential $creds
 +</code>
 +
 +===== gMSA Account löschen =====
 +
 +Bei der Löschung eines gMSA Accounts ist es wichtig, dass auch die Zuordnungen und Berechtigungen mit entfernt werden. Hierzu geht man wie folgt vor:
 +
 +  * Host-Zuweisung prüfen
 +  * Zuweisung aufheben
 +  * Gruppenzugehörigkeit prüfen
 +  * Gruppenzugehörigkeit löschen
 +  * gMSA Account aus AD löschen
 +
 +==== Host Zuweisung prüfen ====
 +
 +<code powershell>
 +Get-ADServiceAccount -Identity <ACCOUNTNAME> -Properties PrincipalsAllowedToRetrieveManagedPassword
 +</code>
 +
 +==== Zuweisung aufheben ====
 +
 +<code powershell>
 +Set-ADServiceAccount <ACCOUNTNAME> -PrincipalsAllowedToRetrieveManagedPassword $NULL -PassThru
 +Test-ADServiceAccount <ACCOUNTNAME>$
 +</code>
 +
 +==== Gruppenzugehörigkeit prüfen ====
 +
 +<code powershell>
 +$ADGroup = (Get-ADServiceAccount -Identity <ACCOUNTNAME>$ -Properties MemberOf).MemberOf
 +$ADGroup | Get-ADGroup | Select-Object Name
 +</code>
 +
 +==== Gruppenzugehörigkeit löschen ====
 +
 +<code powershell>
 +Remove-ADPrincipalGroupMembership <ACCOUNTNAME>$ -MemberOf $ADGroup
 +</code>
 +
 +==== gMSA Account aus AD löschen ====
 +
 +<code powershell>
 +Remove-ADServiceAccount -Identity <ACCOUNTNAME>
 +Get-ADServiceAccount -Identity <ACCOUNTNAME>
 +</code>
  
 ---- ----
Zeile 90: Zeile 144:
  
   * [[https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/]]   * [[https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/]]
 +  * [[https://www.der-windows-papst.de/2022/03/11/uninstall-group-managed-service-account/]]