Einführung in GMSA (Group Managed Service Accounts)

Definition von GMSA

Was ist GMSA? Es ist die Abkürzung für Group Managed Service Accounts. Das eigenständige verwaltete Dienstkonto ist ein verwaltetes Domänenkonto, das eine automatische Passwortverwaltung, eine vereinfachte Verwaltung von Dienstprinzipalnamen (SPN) und die Möglichkeit bietet, die Verwaltung an andere Administratoren zu delegieren. Danach können Sie diesen Artikel von MiniTool lesen.

Windows Server 2008 R2 und Windows 7 verfügen über diese Art von verwaltetem Dienstkonto. Das GMSA bietet die gleiche Funktionalität in der Domäne, erweitert aber die Funktionalität auf mehrere Server. Wenn GMSA als Dienstprinzipal verwendet wird, verwaltet das Windows-Betriebssystem das Passwort des Kontos, anstatt sich auf den Administrator zu verlassen, der das Passwort verwaltet.

Siehe auch: Die beste Partition Magic für Windows Server 2008/2008 R2

Anwendung von GMSA

Soeben haben Sie die Definition von Group Managed Service Accounts kennengelernt. Sehen wir uns nun die Anwendung an.

GMSA bietet eine einzige Identitätslösung für Dienste, die auf Systemen hinter Serverfarmen oder Netzwerk-Lastverteilern laufen. Durch die Bereitstellung von GMSA-Lösungen können Dienste für neue GMSA-Subjekte konfiguriert werden, und die Passwortverwaltung wird von Windows übernommen.

Mit GMSA muss der Dienst oder der Dienstadministrator die Passwortsynchronisierung zwischen Dienstinstanzen nicht verwalten. GMSA unterstützt Hosts, die über einen längeren Zeitraum offline bleiben, sowie die Verwaltung von Mitgliedshosts, die alle Instanzen bedienen. Failover Clustering unterstützt GMSA nicht. Dienste, die auf dem Clusterdienst laufen, können jedoch GMSA oder SMSA verwenden.

Wie man GMSA erstellt

Vielleicht fragen Sie sich nun, wie Sie GMSA erstellen können. Bevor Sie mit der Erstellung beginnen, finden Sie hier einige Voraussetzungen.

• Eine Active Directory Domäne mit mindestens einem Domänencontroller unter Windows Server 2012 oder höher. Es gibt keine Anforderungen auf Wald- oder Domänenfunktionsebene für die Verwendung von gMSA, aber gMSA-Passwörter können nur von Domänencontrollern mit Windows Server 2012 oder höher verteilt werden.
• Berechtigung zum Erstellen eines gMSA-Kontos. Um ein gMSA-Konto zu erstellen, müssen Sie ein Domänenadministrator sein oder ein Konto verwenden, dem die Berechtigung „Create MSDS-GroupManagedServiceAccount Object“ (Erstelle MSDS-GroupManagedServiceAccount-Objekt) erteilt wurde.
• Besuchen Sie das Internet, um das CredentialSpec PowerShell Modul herunterzuladen. Wenn Sie in einer nicht verbundenen Umgebung arbeiten, können Sie das Modul auf einem Computer mit Internetzugang speichern und es auf den Entwicklungscomputer oder den Containerhost kopieren.

Schauen wir uns nun an, wie man eine GMSA erstellt.

Wenn Sie eine GMSA erstellen, erstellen Sie auch eine gemeinsame Identität, die gleichzeitig auf vielen verschiedenen Rechnern verwendet werden kann. Der Zugriff auf das GMSA-Passwort wird durch die Active Directory Zugriffskontrollliste geschützt. Es wird empfohlen, für jedes GMSA-Konto eine Sicherheitsgruppe zu erstellen und die zugehörigen Container-Hosts zu dieser Sicherheitsgruppe hinzuzufügen, um den Zugriff auf die Passwörter zu beschränken.

Da der Container keine Service Principal Names (SPN) automatisch registriert, müssen Sie mindestens einen Host-SPN für das gMSA-Konto manuell erstellen.

Normalerweise wird der Host- oder HTTP-SPN mit demselben Namen wie das gMSA-Konto registriert, aber wenn der Client auf die containerisierte Anwendung hinter dem Load Balancer zugreift oder der DNS-Name sich vom gMSA-Namen unterscheidet, müssen Sie möglicherweise einen anderen Dienstnamen verwenden.

Nachdem Sie den Namen der gMSA bestimmt haben, führen Sie das folgende Cmdlet in PowerShell aus, um die Sicherheitsgruppe und die gMSA zu erstellen.

# Ersetzen Sie „WebApp01“ und „contoso.com“ durch Ihre eigene gMSA oder entsprechend  Ihren Domänennamen

# Um das AD-Modul auf Windows Server zu installieren, führen Sie Install-WindowsFeature RSAT-AD-PowerShell aus

# Um das AD-Modul auf Windows 10 Version 1809 oder höher zu installieren, führen Sie Add-WindowsCapability -Online -Name ‚RSAT.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0′ aus.

# Um das AD-Modul auf älteren Versionen von Windows 10 zu installieren, siehe https://aka.ms/rsat.

# Erstellen Sie die Sicherheitsgruppe

New-ADGroup -Name „WebApp01 Authorized Hosts“ -SamAccountName „WebApp01Hosts“ -GroupScope DomainLocal

# Erstellen Sie die gMSA

New-ADServiceAccount -Name „WebApp01“ -DnsHostName „WebApp01.contoso.com“ -ServicePrincipalNames „host/WebApp01“, „host/WebApp01.contoso.com“ -PrincipalsAllowedToRetrieveManagedPassword „WebApp01Hosts“

# Fügen Sie Ihre Container-Hosts zur Sicherheitsgruppe hinzu.

Add-ADGroupMember -Identity „WebApp01Hosts“ -Members „ContainerHost01$“, „ContainerHost02$“, „ContainerHost03$“

Schlussworte

Was ist GMSA? Im ersten Abschnitt erfahren Sie die genaue Definition. Im zweiten Teil lernen Sie die Anwendung von PRAM kennen. Der dritte Teil zeigt Ihnen, wie Sie eine GMSA erstellen können.

Wenn Sie hier lesen, können Sie ein umfassendes Verständnis von GMSA (Group Managed Service Accounts) erlangen. Ich hoffe, dass die obigen Informationen hilfreich für Sie sind. Hier sind Sie am Ende des Artikels angelangt.