Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: START » Операционные системы Microsoft Windows и их компоненты » Microsoft Windows Server 2012 R2 » Серверная роль Active Directory Domain Services » Управляемые служебные учетные записи Managed Service Account (MSA) и Group Managed Service Account (gMSA) » Создание учётных записей MSA и gMSA
microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-an-msa-or-gmsa-account

Содержание

Создание учётных записей MSA и gMSA

Для создания учётной записи Managed Service Account (MSA) и Group Managed Service Account (gMSA) требуются права на уровне членства в группе Domain Admins в том случае, если создание учётной записи выполняется в контейнере Active Directory по умолчанию: CN=Managed Service Accounts,DC=holding,DC=com. Если указанного уровня прав нет, то можно использовать создание учётной записи в любом другом OU в домене, на который есть права уровня Account Operators.


Создание Managed Service Account

При необходимости создать учётную запись Managed Service Account, которая будет ограничена действием только в рамках одного компьютера, то есть учётную запись типа msDS-ManagedServiceAccount, достаточно выполнить команду типа: 

New-ADServiceAccount -Name myMSA1 -RestrictToSingleComputer `
-Path "OU=Managed Service Accounts,OU=Service Objects,OU=KOM,DC=holding,DC=com"

Гдe:

  • -Name – имя создаваемой учётной записи MSA.
    Обратите внимание на то, что имя имеет ограничение в 15 символов.

  • -RestrictToSingleComputer – наличие этого параметра говорит о том, что нужно создать именно учётную запись MSA (не gMSA) действие которой ограничено одним каким-либо сервером.

  • -Path - CN контейнера где будет создана учётная запись MSA, если нет желания использовать контейнер по умолчанию (CN=Managed Service Accounts,DC=holding,DC=com)

После успешного выполнения командлета убедимся в наличии объекта класса msDS-ManagedServiceAccount в указанном OU в домене.

С помощью PowerShell можем запросить информацию о созданной учётной записи MSA командлетом Get-ADServiceAccount.

Командлет New-ADServiceAccount имеет ряд других интересных параметров, узнать о которых можно, например, в онлайн справке.

В последствии созданную учётную запись можно будет привязать только к одному серверу.


Создание Group Managed Service Account

При необходимости создать групповую учётную запись Group Managed Service Account (класса msDS-GroupManagedServiceAccount), которую можно будет использовать в рамках нескольких компьютеров, например, на нескольких узлах какого-либо кластера, выполняем команду типа: 

$server1 = Get-ADComputer "<имя сервера 1>"
$server2 = Get-ADComputer "<имя сервера 2>"
New-ADServiceAccount -Name "myGMSA1" -DNSHostName "myGMSA1.holding.com" `
-PrincipalsAllowedToRetrieveManagedPassword $server1,$server2 `
-ManagedPasswordIntervalInDays 60 `
-Path "OU=Managed Service Accounts,OU=Service Objects,OU=KOM,DC=holding,DC=com"

Гдe:

  • -Name – имя создаваемой учётной записи gMSA

  • -DNSHostName - FQDN имя, складывающееся из имени учётной записи (sAMAccountName) и доменного суффикса. Хотя есть разные толкования того, что должно быть указано в этом параметре (здесь и здесь.)

  • -PrincipalsAllowedToRetrieveManagedPassword - перечень компьютеров домена, которым можно предоставить доступ к паролю учётной записи gMSA.

    Если количество серверов в кластере большое и может со временем меняться, то, возможно имеет смысл создать в домене AD отдельную глобальную группу безопасности, включить в неё учётные записи серверов-узлов кластера, и уже эту группу использовать в качестве значения параметра PrincipalsAllowedToRetrieveManagedPassword. Особенностью такого метода является то, что при изменении членства группы для вступления изменений в силу требуется перезагрузка сервера-участника группы.

  • -ManagedPasswordIntervalInDays - Период (в днях) действия пароля до его автоматической смены (при смене генерируется стойкий пароль длинной в 240 символов). Если параметр не указан по умолчанию используется значение в 30 дней.

После успешного выполнения командлета убедимся в наличии объекта класса msDS-GroupManagedServiceAccount в указанном OU в домене


Замечания

Создавая учётные записи MSA/gMSA лучше руководствоваться принципом «отдельный сервис – отдельная учётная запись» и не пытаться использовать одну учётную запись MSA/gMSA для разных служб, так как это понижает уровень безопасности всех служб/приложений, совместно использующих одну и туже учётную запись. К тому же даже с точки зрения отладки работы служб и приложений использование разных учётных записей может дать свои преимущества.

Проверено на следующих конфигурациях:

Версия ОС
Windows Server 2012 R2 Standard EN (6.3.9600)

Автор первичной редакции:
Алексей Максимов
Время публикации: 30.10.2018 17:21

, , , , , , , , ,

Обсуждение

Igor Larionov, 02.04.2023 07:48
Всякий раз когда натыкаюсь на какие то новые, новые для меня примочки Microsoft, каждый раз они ставят меня в тупик. С одной стороны "вау", а с другой стороны, начинаешь думать, а как я могу применить это у себя. До сих пор применял application users, и для SQL services и для Application Pools. А теперь оказывается есть что то более заумное. И что теперь делать, шидружить всё или оставить всё как есть, по принципу, работает и не трогай. В любом случае, Алексей, спасибо за блог.
Ваш комментарий:
 
microsoft-windows/windows-server-2012-r2/adds/how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa/how-to-create-an-msa-or-gmsa-account.txt · Последнее изменение: Алексей Максимов
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki