Der Group Managed Service Account (gMSA) ist ein spezieller Kontotyp, der die Verwaltung und Nutzung von Dienstkonten vereinfacht, indem er Passwörter automatisch verwaltet und auf mehreren Hosts anwendbar ist.
Die typischen Einsatzszenarien für gMSA sind Windows-Dienste, Microsoft SQL Server, Internet Information Services (IIS), Clustering, Task Scheduler, Microsoft Exchange, File und Printserver sowie Kerberos geschützte Anwendungen.
Die folgenden Schritte erläutern anhand eines Beispiels, wie der Dienst aktiviert wird, ein Konto angelegt und anschliessend auf dem Zielsystem integriert wird
Schritt 1: Öffnen Sie auf dem Domänencontroller die PowerShell als Administrator und führen Sie den Befehl ‘Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)’ aus. Dadurch wird ein neuer Root-Schlüssel im Key Distribution Service (KDS) des Active Directory hinzugefügt, der eine sichere Generierung von Kennwörtern für Group Managed Service Accounts (gMSA) ermöglicht.
Wissenswert: Dieser Befehl reduziert die 10-stündige Wartezeit für die Replikation innerhalb der Domäne auf 0, sodass gMSA-Konten sofort erstellt werden können, und erstellt unter «Active Directory Sites and Services» den «Group Key Distribution Service»
Schritt 2: Mit dem folgenden Befehl ‘New-ADServiceAccount -Name gMSA-PROD-ADFS -DNSHostName gMSA-PROD-ADFS.corp.internal -PrincipalsAllowedToRetrieveManagedPassword corpsrv02$‘ wird der Service Account ‘gMSA-PROD-ADFS’ erstellt, und der Server CORPSRV02 erhält die Berechtigung zur Nutzung dieses Service Accounts.
Wissenswert: Im Active Directory erscheint der neu erstellte Service Account unter ‘Managed Service Accounts’, siehe nachfolgende Abbildung.
Schritt 3: Installation der Remote Server Administration Tools mit Befehl ‘Add-WindowsFeature RSAT-AD-Powershell’ den Servern, welche den gMSA-Account verwenden sollen.
Schritt 4: Installieren Sie das gMSA-Konto auf dem Server mit dem Befehl ‘Install-ADServiceAccount -Identity ‚gMSA-PROD-ADFS‚’ und überprüfen Sie die Funktionalität mithilfe des Befehls ‘Test-ADServiceAccount gMSA-PROD-ADFS’.
