Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv
 

Seit Windows Server 2008 gibt es sogenannte Managed Service Accounts (MSA). Diese MSAs konnten allerdings immer nur für einen Server verwendet werden.  Mit Windows Server 2012 hat Microsoft diese Einschränkung mit der Einführung der  Group Managed Service Accounts (GMSA) aufgehoben. Ein Service Account kann nun mit einer Gruppe von Computern verknüpft werden. 

Das Erstellen und Konfigurieren eines gMSA wird über die Powershell durchgeführt.

 

Voraussetzungen: Ein Domain Controller (DC) auf Basis von Windows Server 2012 oder höher muss im Netzwerk vorhanden sein.

 

Erstellen eines gMSA (als Gedächtnisstütze für mich)

 

Powershell (admin) starten:

Add-KDSRootKeyEffectiveImmediately (kann je nach Anzahl der DCs bis zu 10 Stunden dauern)
 
deshalb kleiner Trick:
 
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
 
überprüfen mit Get-KdsRootKey
 
Im AD habe ich eine Sicherheitsgruppe angelegt (GG_GMSA), in der alle Server als Mitglieder hinzugefügt werden, die den gMSA verwenden werden
 
Anlegen des gMSA
 
New-ADServiceAccount GMSA -DNSHostName DC01.winxperts.intern -PrincipalsAllowedToRetrieveManagedPassword GG_GMSA -ManagedPasswordIntervalInDays 30 -ServicePrincipalNames http/DC01.winxpertsintern
 
Server neu starten
 
Install-AdServiceAccount GMSA
Test-AdServiceAccount GMSA
 
 
Aufgabenplanung mit gMSA (geht nicht über GUI sondern nur mit Powershell)
Nicht vergessen, dem Account das Recht zum Anmelden als Stapelverarbeitung bzw. als Dienst einzuräumen (GPO)
 
Beispiel:
 

$action = New-ScheduledTaskAction  "Powershell.exe -ExecutionPolicy Bypass -File c:\!scripts\wsus.ps1"

$trigger = New-ScheduledTaskTrigger -At 21:00 -Weekly -DaysOfWeek Friday

$principal = New-ScheduledTaskPrincipal -UserID winxperts4all\GMSA$ -LogonType Password

 

Register-ScheduledTask WSUS Cleanup –Action $action –Trigger $trigger –Principal $principal

 

Copyright © winxperts4all.com. All Rights Reserved.