Различия

Показаны различия между двумя версиями страницы.

--- microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-an-msa-or-gmsa-account [31.10.2018 14:44] – Алексей Максимов
+++ microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-an-msa-or-gmsa-account [20.11.2018 18:59] (текущий) – [Создание Group Managed Service Account] Алексей Максимов
@@ Строка 1: / Строка 1: @@
-===== Заголовок =====
+===== Создание учётных записей MSA и gMSA =====
-{{:microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-144440.png }} Для использования учётных записей Managed Service Account (MSA) и Group Managed Service Account (gMSA) ...
+{{:microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-144440.png }} Для создания учётной записи **Managed Service Account** (**MSA**) и **Group Managed Service Account** (**gMSA**) требуются права на уровне членства в группе **Domain Admins** в том случае, если создание учётной записи выполняется в контейнере **Active Directory** по умолчанию: ''CN=Managed Service Accounts,DC=holding,DC=com''. Если указанного уровня прав нет, то можно использовать создание учётной записи в любом другом **OU** в домене, на который есть права уровня **Account Operators**.
-<WRAP center todo 100%> Данная страница находится в стадии наполнения.\\
+\\
-Конечный контент страницы будет доступен позже.
+==== Создание Managed Service Account ====
-</WRAP>
+При необходимости создать учётную запись **Managed Service Account**, которая будет ограничена действием только в рамках одного компьютера, то есть учётную запись типа **msDS-ManagedServiceAccount**, достаточно выполнить команду типа:
+<code powershell>New-ADServiceAccount -Name myMSA1 -RestrictToSingleComputer `
+-Path "OU=Managed Service Accounts,OU=Service Objects,OU=KOM,DC=holding,DC=com"</code>
+Гдe:
+  * ''-Name'' – имя создаваемой учётной записи MSA.\\ Обратите внимание на то, что имя имеет ограничение в 15 символов.\\ \\
+  * ''-RestrictToSingleComputer'' – наличие этого параметра говорит о том, что нужно создать именно учётную запись MSA (не gMSA) действие которой ограничено одним каким-либо сервером. \\ \\
+  * ''-Path'' - CN контейнера где будет создана учётная запись MSA, если нет желания использовать контейнер по умолчанию (CN=Managed Service Accounts,DC=holding,DC=com)
+После успешного выполнения командлета убедимся в наличии объекта класса **msDS-ManagedServiceAccount** в указанном OU в домене.
+{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-162257.png }}
+С помощью PowerShell можем запросить информацию о созданной учётной записи MSA командлетом **Get-ADServiceAccount**.
+{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-162335.png }}
+Командлет **New-ADServiceAccount** имеет ряд других интересных параметров, узнать о которых можно, например, в [[https://docs.microsoft.com/en-us/powershell/module/addsadministration/new-adserviceaccount?view=winserver2012r2-ps|онлайн справке]].
+В последствии созданную учётную запись можно будет привязать только к одному серверу.
+\\
+==== Создание Group Managed Service Account ====
+При необходимости создать групповую учётную запись **Group Managed Service Account** (класса **msDS-GroupManagedServiceAccount**), которую можно будет использовать в рамках нескольких компьютеров, например, на нескольких узлах какого-либо кластера, выполняем команду типа:
+<code powershell>$server1 = Get-ADComputer "<имя сервера 1>"
+$server2 = Get-ADComputer "<имя сервера 2>"
+New-ADServiceAccount -Name "myGMSA1" -DNSHostName "myGMSA1.holding.com" `
+-PrincipalsAllowedToRetrieveManagedPassword $server1,$server2 `
+-ManagedPasswordIntervalInDays 60 `
+-Path "OU=Managed Service Accounts,OU=Service Objects,OU=KOM,DC=holding,DC=com"</code>
+Гдe:
+  * ''-Name'' – имя создаваемой учётной записи gMSA \\ \\
+  * ''-DNSHostName'' - FQDN имя, складывающееся из имени учётной записи (sAMAccountName) и доменного суффикса. Хотя есть разные толкования того, что должно быть указано в этом параметре ([[https://serverfault.com/questions/503823/set-dns-host-name-for-managed-service-account|здесь]] и [[https://social.technet.microsoft.com/Forums/windowsserver/en-US/9a66d1d5-44e9-4ea1-ba9c-88862023c4e1/why-does-a-gmsa-need-a-dns-host-name-e-g-newadserviceaccount-dnshostname?forum=winserver8gen|здесь]].)\\ \\
+  * ''-PrincipalsAllowedToRetrieveManagedPassword'' - перечень компьютеров домена, которым можно предоставить доступ к паролю учётной записи gMSA. \\ \\ Если количество серверов в кластере большое и может со временем меняться, то, возможно имеет смысл создать в домене AD отдельную глобальную группу безопасности, включить в неё учётные записи серверов-узлов кластера, и уже эту группу использовать в качестве значения параметра ''PrincipalsAllowedToRetrieveManagedPassword''. Особенностью такого метода является то, что при изменении членства группы для вступления изменений в силу требуется перезагрузка сервера-участника группы. \\ \\
+  * ''-ManagedPasswordIntervalInDays'' - Период (в днях) действия пароля до его автоматической смены (при смене генерируется стойкий пароль длинной в 240 символов). Если параметр не указан по умолчанию используется значение в __30 дней__.
+{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-162409.png }}
+После успешного выполнения командлета убедимся в наличии объекта класса **msDS-GroupManagedServiceAccount** в указанном OU в домене
+{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-162420.png }}
+\\
+==== Замечания ====
+Создавая учётные записи MSA/gMSA лучше руководствоваться принципом "отдельный сервис – отдельная учётная запись" и не пытаться использовать одну учётную запись MSA/gMSA для разных служб, так как это понижает уровень безопасности всех служб/приложений, совместно использующих одну и туже учётную запись. К тому же даже с точки зрения отладки работы служб и приложений использование разных учётных записей может дать свои преимущества.
@@ Строка 16: / Строка 69: @@
 {{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 30.10.2018 17:21
-{{tag>Microsoft "Windows Server" "Windows Server 2012 R2" ADDS "Active Directory" MSA gMSA "Managed Service Account" "Group Managed Service Account"}}
+{{tag>Microsoft "Windows Server" "Windows Server 2012 R2" ADDS "Active Directory" MSA gMSA "Managed Service Account" "Group Managed Service Account" PowerShell}}
 ~~DISCUSSION~~