Пошаговые руководства, шпаргалки, полезные ссылки...
БлогФорумАвторы
Полезные Online-сервисы
Перечень Бесплатного ПО
Подписка на RSS-канал
Для создания учётной записи Managed Service Account (MSA) и Group Managed Service Account (gMSA) требуются права на уровне членства в группе Domain Admins в том случае, если создание учётной записи выполняется в контейнере Active Directory по умолчанию: CN=Managed Service Accounts,DC=holding,DC=com. Если указанного уровня прав нет, то можно использовать создание учётной записи в любом другом OU в домене, на который есть права уровня Account Operators.
CN=Managed Service Accounts,DC=holding,DC=com
При необходимости создать учётную запись Managed Service Account, которая будет ограничена действием только в рамках одного компьютера, то есть учётную запись типа msDS-ManagedServiceAccount, достаточно выполнить команду типа:
New-ADServiceAccount -Name myMSA1 -RestrictToSingleComputer ` -Path "OU=Managed Service Accounts,OU=Service Objects,OU=KOM,DC=holding,DC=com"
Гдe:
-Name
-RestrictToSingleComputer
-Path
После успешного выполнения командлета убедимся в наличии объекта класса msDS-ManagedServiceAccount в указанном OU в домене.
С помощью PowerShell можем запросить информацию о созданной учётной записи MSA командлетом Get-ADServiceAccount.
Командлет New-ADServiceAccount имеет ряд других интересных параметров, узнать о которых можно, например, в онлайн справке.
В последствии созданную учётную запись можно будет привязать только к одному серверу.
При необходимости создать групповую учётную запись Group Managed Service Account (класса msDS-GroupManagedServiceAccount), которую можно будет использовать в рамках нескольких компьютеров, например, на нескольких узлах какого-либо кластера, выполняем команду типа:
$server1 = Get-ADComputer "<имя сервера 1>" $server2 = Get-ADComputer "<имя сервера 2>" New-ADServiceAccount -Name "myGMSA1" -DNSHostName "myGMSA1.holding.com" ` -PrincipalsAllowedToRetrieveManagedPassword $server1,$server2 ` -ManagedPasswordIntervalInDays 60 ` -Path "OU=Managed Service Accounts,OU=Service Objects,OU=KOM,DC=holding,DC=com"
-DNSHostName
-PrincipalsAllowedToRetrieveManagedPassword
PrincipalsAllowedToRetrieveManagedPassword
-ManagedPasswordIntervalInDays
После успешного выполнения командлета убедимся в наличии объекта класса msDS-GroupManagedServiceAccount в указанном OU в домене
Создавая учётные записи MSA/gMSA лучше руководствоваться принципом «отдельный сервис – отдельная учётная запись» и не пытаться использовать одну учётную запись MSA/gMSA для разных служб, так как это понижает уровень безопасности всех служб/приложений, совместно использующих одну и туже учётную запись. К тому же даже с точки зрения отладки работы служб и приложений использование разных учётных записей может дать свои преимущества.
Проверено на следующих конфигурациях:
Автор первичной редакции: Алексей Максимов Время публикации: 30.10.2018 17:21