Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende Überarbeitung | |||
it-security:gmsa [2024/01/12 22:15] – Externe Bearbeitung 127.0.0.1 | it-security:gmsa [2024/01/28 22:25] (aktuell) – psycore | ||
---|---|---|---|
Zeile 6: | Zeile 6: | ||
Dieses Tutorial zeigt nur den generellen Ablauf. Je nach Unternehmensstruktur, | Dieses Tutorial zeigt nur den generellen Ablauf. Je nach Unternehmensstruktur, | ||
- | * Wie sollen Berechtigungen vergeben werden (Gruppenberechtigungen, | + | * Wie sollen Berechtigungen vergeben werden (Gruppenberechtigungen, |
* Wie strukturieren wir unsere gMSA Konten (pro Server, pro Dienst etc.)? | * Wie strukturieren wir unsere gMSA Konten (pro Server, pro Dienst etc.)? | ||
Zeile 46: | Zeile 46: | ||
< | < | ||
- | Wenn die Powershell noch geöffnet ist, kann man die Installation auch mit diesem Kommando starten: | + | Werden |
- | + | ||
- | <code powershell> | + | |
- | Install-WindowsFeature -IncludeAllSubFeature RSAT | + | |
- | </ | + | |
- | + | ||
- | Nach der Installation ist ggf. ein Neustart fällig und das ActiveDirectory Modul muss in PowerShell | + | |
<code powershell> | <code powershell> | ||
Zeile 60: | Zeile 54: | ||
===== Berechtigungen ===== | ===== Berechtigungen ===== | ||
- | Die Berechtigungen können nun nach Bedarf | + | Die Berechtigungen können nun vergeben werden, wie man diese benötigt. Entweder durch Zuweisen einer Sicherheitsgruppe im AD, oder als lokaler Administrator auf dem Zielsystem. |
===== Dienste ===== | ===== Dienste ===== | ||
- | Jetzt können Dienste | + | Nun können Dienste |
* '' | * '' | ||
Zeile 85: | Zeile 79: | ||
{{: | {{: | ||
+ | |||
+ | ===== Berechtigungen ändern ===== | ||
+ | |||
+ | ==== Dienste ==== | ||
+ | |||
+ | **PowerShell 7 wird benötigt** | ||
+ | |||
+ | <code powershell> | ||
+ | PS C: | ||
+ | |||
+ | PowerShell credential request | ||
+ | Enter your credentials. | ||
+ | User: DOMAIN\PSY | ||
+ | Password for user DOMAIN\PSY: ***************** | ||
+ | |||
+ | PS C: | ||
+ | </ | ||
+ | |||
+ | ===== gMSA Account löschen ===== | ||
+ | |||
+ | Bei der Löschung eines gMSA Accounts ist es wichtig, dass auch die Zuordnungen und Berechtigungen mit entfernt werden. Hierzu geht man wie folgt vor: | ||
+ | |||
+ | * Host-Zuweisung prüfen | ||
+ | * Zuweisung aufheben | ||
+ | * Gruppenzugehörigkeit prüfen | ||
+ | * Gruppenzugehörigkeit löschen | ||
+ | * gMSA Account aus AD löschen | ||
+ | |||
+ | ==== Host Zuweisung prüfen ==== | ||
+ | |||
+ | <code powershell> | ||
+ | Get-ADServiceAccount -Identity < | ||
+ | </ | ||
+ | |||
+ | ==== Zuweisung aufheben ==== | ||
+ | |||
+ | <code powershell> | ||
+ | Set-ADServiceAccount < | ||
+ | Test-ADServiceAccount < | ||
+ | </ | ||
+ | |||
+ | ==== Gruppenzugehörigkeit prüfen ==== | ||
+ | |||
+ | <code powershell> | ||
+ | $ADGroup = (Get-ADServiceAccount -Identity < | ||
+ | $ADGroup | Get-ADGroup | Select-Object Name | ||
+ | </ | ||
+ | |||
+ | ==== Gruppenzugehörigkeit löschen ==== | ||
+ | |||
+ | <code powershell> | ||
+ | Remove-ADPrincipalGroupMembership < | ||
+ | </ | ||
+ | |||
+ | ==== gMSA Account aus AD löschen ==== | ||
+ | |||
+ | <code powershell> | ||
+ | Remove-ADServiceAccount -Identity < | ||
+ | Get-ADServiceAccount -Identity < | ||
+ | </ | ||
---- | ---- | ||
Zeile 90: | Zeile 144: | ||
* [[https:// | * [[https:// | ||
+ | * [[https:// |