Donnerstag, 2. Mai 2013

Active Directory Managed Service Accounts (gMSA)

Voraussetzungen und Restriktionen

AD MSA können nur auf Domain Controller auf Basis Windows 2008 R2, Win7 und neuere Windows Versionen verwendet werden. Sollte eine ein ältere Version im Einsatz sein schafft dieser KB Artikel Abhilfe.
Auf jedem Computer darf immer nur ein ADMSA Account geben.

Verwaltung und Administration der gMSAccounts

Alle Accounts müssen via Powershell und geladenem Module "ActiveDirectory" administriert werden. 

CMDLets

Add-ADComputerServiceAccount                    
Get-ADComputerServiceAccount                      
Get-ADServiceAccount                              
Install-ADServiceAccount                          
New-ADServiceAccount                            
Remove-ADComputerServiceAccount      
Remove-ADServiceAccount                      
Reset-ADServiceAccountPassword          
Set-ADServiceAccount                              
Uninstall-ADServiceAccount        
     

Create and manage gMSAccount : 

erstelle eines gMSAccounts 
New-ADServiceAccount -name <Account-Name> -Path "DestinguishedName der AblageOU" -enabled $true
Verbinden des gMSAccounts  mit dem Computer Objekt.
Add-ADComputerServiceAccount -Identitiy <Zielcomputer> -ServiceAccount <Account-Name>

Verifizieren des verlinkten gMSA 

In den Attributen des Computer Objekts kann dies geprüft werden mit den Namen "msDS"

Vorbereitung Client

Auf dem Client müssen die AD Powershell CMDlet und .Net 3.5 installiert werden.

Installation des gMSA auf dem Client

Der Account muss auf dem Client installiert werden. Hierfür nutz man den Befehl 
Install-ADServiceAccount -Identity <Account-Name>
Hinterlegen des Accounts wird über die Services.msc (Dienst Konsole) mit Anmelden -> Dieses Konto -> Account aus dem AD wählen und das PW Feld löschen -> Service Restart


Änderungen und neue Features zu Server 2012 folgen....

-------------------------------------------------------------------------------------------------------------------------------------------------------------------

Tipps und Tricks:

Error: Beim ausführen des Befehls
New-ADServiceAccount -Name <TestAccount> -Path <CN=Managed Service Accounts,DC=Domain,DC=test> 
kommt diese PS Errors
New-ADServiceAccount: Der Schlüssel ist nicht vorhanden
New-ADServiceAccount: Key does not exist
Man muss 10 Stunden warten um die Replikation zeit zu geben. Dies liegt an der Passwort Generierung welche verhindert, dass ein DC diese Anfrage annimmt. In einer Testumgebung oder kleinen Domain mit nur einem DC kann dies ausgehebelt werden mit dem Command:
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))   
Error: Installieren des Accounts auf dem Client

Zeichenmaximum bei gMSAccounts ist bei 15 Stellen. Beim installieren des Accounts auf dem Client erhält man sonst diese Fehlermeldung in der PS.
Install-ADServiceAccount : Cannot install service account. Error Message: 'Unknown error (0xc0000017)'.

Quellen:
http://technet.microsoft.com/en-us/library/jj128431.aspx
http://social.technet.microsoft.com/Forums/en-US/winserver8gen/thread/82617035-254f-4078-baa2-7b46abb9bb71/

Eingestellt von um
Labels: ,

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post (Atom)