Seit Windows Server 2008 gibt es sogenannte Managed Service Accounts (MSA). Diese MSAs konnten allerdings immer nur für einen Server verwendet werden. Mit Windows Server 2012 hat Microsoft diese Einschränkung mit der Einführung der Group Managed Service Accounts (GMSA) aufgehoben. Ein Service Account kann nun mit einer Gruppe von Computern verknüpft werden.
Das Erstellen und Konfigurieren eines gMSA wird über die Powershell durchgeführt.
Voraussetzungen: Ein Domain Controller (DC) auf Basis von Windows Server 2012 oder höher muss im Netzwerk vorhanden sein.
Erstellen eines gMSA (als Gedächtnisstütze für mich)
Powershell (admin) starten:
$action = New-ScheduledTaskAction "Powershell.exe -ExecutionPolicy Bypass -File c:\!scripts\wsus.ps1"
$trigger = New-ScheduledTaskTrigger -At 21:00 -Weekly -DaysOfWeek Friday
$principal = New-ScheduledTaskPrincipal -UserID winxperts4all\GMSA$ -LogonType Password
Register-ScheduledTask WSUS Cleanup –Action $action –Trigger $trigger –Principal $principal