Diese Seite ist nicht editierbar. Sie können den Quelltext sehen, jedoch nicht verändern. Kontaktieren Sie den Administrator, wenn Sie glauben, dass hier ein Fehler vorliegt. {{tag>deutsch startpage it-security windows active-directory}} ====== Group Managed Service Accounts ====== ===== Sicherheitshinweise ===== Dieses Tutorial zeigt nur den generellen Ablauf. Je nach Unternehmensstruktur, ist ein entsprechendes Berechtigungskonzept im Vorfeld zu planen. Wichtige Fragen, die vorher geklärt werden sollten: * Wie sollen Berechtigungen vergeben werden (Gruppenberechtigungen, Einzleberechtigungen)? * Wie strukturieren wir unsere gMSA Konten (pro Server, pro Dienst etc.)? ===== Vorbereitungen ===== Root Key auf dem DC anlegen: <code powershell> Add-KdsRootKey -EffectiveImmediately </code> Anschließend 10 Stunden warten, um sicherzustellen, dass die Replikation vollständig erledigt ist. ===== gMSA-Konto ===== ==== anlegen ==== Auf dem DC: <code powershell> New-ADServiceAccount -Name <ACCOUNTNAME> -DNSHostName <ACCOUNTNAME>.<DOMAIN>.<TLD> -PrincipalsAllowedToRetrieveManagedPassword <COMPUTERNAME>$ </code> ==== testen ==== Auf dem Zielsystem: <code powershell> Test-ADServiceAccount <ACCOUNTNAME> </code> Bei Erfolg, meldet die Konsole ''True'' === Bei Fehlern auf dem Zielsystem === Eventuell müssen die RSAT-Tools aktiviert werden. Aussage von Microsoft hierzu: > Ab dem Windows 10-Update vom Oktober 2018 ist RSAT als Sammlung von Features bei Bedarf in Windows 10 selbst enthalten. Anstatt ein RSAT-Paket herunterzuladen, können Sie jetzt einfach zu Optionale Features verwalten unter Einstellungen navigieren und auf Feature hinzufügen klicken, um die Liste der verfügbaren RSAT-Tools anzuzeigen. Wählen Sie die gewünschten RSAT-Tools aus, und installieren Sie sie. Um den Installationsfortschritt anzuzeigen, klicken Sie auf die Schaltfläche Zurück, um den Status auf der Seite Optionale Features verwalten anzuzeigen. <sup>[[https://learn.microsoft.com/de-de/windows-server/remote/remote-server-administration-tools]]</sup> Werden die RSAT Tools aktiviert, muss das ActiveDirectory Modul importiert werden: <code powershell> import-module ActiveDirectory </code> ===== Berechtigungen ===== Die Berechtigungen können nun vergeben werden, wie man diese benötigt. Entweder durch Zuweisen einer Sicherheitsgruppe im AD, oder als lokaler Administrator auf dem Zielsystem. ===== Dienste ===== Nun können Dienste mit diesem Benutzer versorgt werden. Hierzu einfach die Dienst Konsole öffnen und die Eigenschaften des entsprechenden Dienstes öffnen: * ''Anmelden'' Reiter öffnen * Selektion ''Dieses Konto'' * ''<ACCOUNTNAME>'' aus der Domäne hinterlegen * ''Passwort'' Felder leeren * Dialog bestätigen {{:it-security:screenshot_2023-11-30_154322.png?600|}} ===== Aufgabenplanung ===== Um eine Aufgabe im Kontext des gMSA Accounts auszuführen, muss diese Aufgabe mit der Kommandozeile angepasst werden <code dos> schtasks /Change /TN "<AUFGABENNAME>" /RU "<DOMAIN>.<TLD>\<ACCOUNTNAME>$" /RP "" </code> Möglicherweise muss dem Account das Recht gewährt werden, sich als Stapeklverarbeitungsauftrag anmelden zu dürfen: {{:it-security:screenshot_2023-11-30_154419.png?600|}} ===== Berechtigungen ändern ===== ==== Dienste ==== **PowerShell 7 wird benötigt** <code powershell> PS C:\Users\PSY> $creds = Get-Credential PowerShell credential request Enter your credentials. User: DOMAIN\PSY Password for user DOMAIN\PSY: ***************** PS C:\Users\PSY> Set-Service -name "Service" -Credential $creds </code> ===== gMSA Account löschen ===== Bei der Löschung eines gMSA Accounts ist es wichtig, dass auch die Zuordnungen und Berechtigungen mit entfernt werden. Hierzu geht man wie folgt vor: * Host-Zuweisung prüfen * Zuweisung aufheben * Gruppenzugehörigkeit prüfen * Gruppenzugehörigkeit löschen * gMSA Account aus AD löschen ==== Host Zuweisung prüfen ==== <code powershell> Get-ADServiceAccount -Identity <ACCOUNTNAME> -Properties PrincipalsAllowedToRetrieveManagedPassword </code> ==== Zuweisung aufheben ==== <code powershell> Set-ADServiceAccount <ACCOUNTNAME> -PrincipalsAllowedToRetrieveManagedPassword $NULL -PassThru Test-ADServiceAccount <ACCOUNTNAME>$ </code> ==== Gruppenzugehörigkeit prüfen ==== <code powershell> $ADGroup = (Get-ADServiceAccount -Identity <ACCOUNTNAME>$ -Properties MemberOf).MemberOf $ADGroup | Get-ADGroup | Select-Object Name </code> ==== Gruppenzugehörigkeit löschen ==== <code powershell> Remove-ADPrincipalGroupMembership <ACCOUNTNAME>$ -MemberOf $ADGroup </code> ==== gMSA Account aus AD löschen ==== <code powershell> Remove-ADServiceAccount -Identity <ACCOUNTNAME> Get-ADServiceAccount -Identity <ACCOUNTNAME> </code> ---- Quellen: * [[https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/]] * [[https://www.der-windows-papst.de/2022/03/11/uninstall-group-managed-service-account/]]