Contas de serviço gerenciado de grupo

O Managed Service Accounts (MSA) foi introduzido no Windows Server 2008 R2 para gerenciar (alterar) automaticamente as senhas das contas de serviço. Usando o MSA, você pode reduzir consideravelmente o risco de comprometimento das contas do sistema que executam os serviços do sistema. A MSA tem um grande problema que é o uso dessa conta de serviço apenas em um computador. Isso significa que as contas de serviço MSA não podem funcionar com serviços de cluster ou NLB, que operam simultaneamente em vários servidores e usam a mesma conta e senha. Para corrigir isso, a Microsoft adicionou o recurso deGroup Managed Service Accounts (gMSA) para o Windows Server 2012.

Para criar um gMSA, devemos seguir as etapas abaixo -

Step 1- Crie a chave raiz KDS. Isso é usado pelo serviço KDS no DC para gerar senhas.

Para usar a chave imediatamente no ambiente de teste, você pode executar o comando PowerShell -

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Para verificar se ele cria com sucesso ou não, executamos o comando PowerShell -

Get-KdsRootKey

Step 2 - Para criar e configurar gMSA → Abra o terminal Powershell e digite -

Novo - ADServiceAccount - nome gmsa1 - DNSHostNamedc1.example.com - PrincipalsAllowedToRetrieveManagedPassword "gmsa1Group"

No qual,

  • gmsa1 é o nome da conta gMSA a ser criada.

  • dc1.example.com é o nome do servidor DNS.

  • gmsa1Groupé o grupo do diretório ativo que inclui todos os sistemas que devem ser usados. Este grupo deve ser criado antes nos Grupos.

Para verificar isso, vá para → Gerenciador de servidores → Ferramentas → Usuários e computadores do Active Directory → Contas de serviço gerenciado.

Step 3 - Para instalar gMAs em um servidor → abra o terminal PowerShell e digite os seguintes comandos -

  • Instalar - ADServiceAccount - Identidade gmsa1
  • Teste - ADServiceAccount gmsa1

O resultado deve vir “True” após a execução do segundo comando, conforme mostrado na imagem abaixo.

Step 4 - Vá para as propriedades do serviço, especifique que o serviço será executado com um gMSA account. NoThis account caixa no Log onguia digite o nome da conta de serviço. No final do nome, use o símbolo$, a senha não precisa ser especificada. Depois que as alterações forem salvas, o serviço deve ser reiniciado.

A conta receberá o “Log On as a Service” e a senha será recuperada automaticamente.