Gruppenverwaltete Dienstkonten (GMSA – Gruppenverwaltete Dienstkonten), Microsoft Active DirectoryEs handelt sich um eine erweiterte Version von Managed Service Accounts (MSA), die eine Funktion von (AD) ist.
In der heutigen, sich schnell verändernden Welt der Technologie hat Sicherheit mehr denn je Priorität. Hier finden Sie gruppenverwaltete Dienstkonten (GMSA – Gruppenverwaltete Dienstkonten) zeichnet sich durch eine innovative Lösung von Microsoft Active Directory aus, um kritische Lücken in der Netzwerksicherheit zu schließen. GMSAsind darauf ausgelegt, anspruchsvolle Sicherheits- und Automatisierungsanforderungen zu erfüllen und bieten so erhebliche Vorteile für IT-Experten.
Diese Funktion war die erste Windows Server 2012Es wurde eingeführt. GMSAsind speziell für Dienste und Anwendungen konzipiert, die eine automatische und sichere Passwortverwaltung erfordern. Diese Konten wurden für Dienste entwickelt, die im Netzwerk ausgeführt werden, und sind besonders nützlich, wenn Dienste mit Lastausgleich auf mehreren Servern ausgeführt werden müssen.
Inhaltsverzeichnis
Was ist gMSA?
GMSA (Gruppenverwaltete Dienstkonten) ist ein Kontotyp, den Microsoft entwickelt hat, indem er einen weiteren Schritt zu Managed Service Accounts (MSA) hinzugefügt hat. Windows Server 2012 Diese Konten, die mit in unser Leben kamen, sollen dafür sorgen, dass Dienste und Anwendungen auf mehreren Servern sicher und reibungslos laufen.
gMSA-Vorteile
- Automatische Passwortverwaltung: GMSADer vielleicht größte Vorteil von ist die automatische Passwortänderung. Während herkömmliche Dienstkonten in regelmäßigen Abständen manuelle Passwortaktualisierungen erfordern, GMSAWir automatisieren diesen Prozess vollständig. Active Directory erstellt sichere Passwörter für diese Konten und ändert sie regelmäßig. Diese Funktion eliminiert menschliches Versagen und verringert das Risiko von Sicherheitsverletzungen.
- Nutzung mehrerer Server: GMSAermöglichen die Verwendung eines Kontos auf mehreren Servern. Dies ist ideal für Anwendungen mit Skalierbarkeits- und Lastausgleichsfunktionen. Die Möglichkeit, sich bei mehreren Instanzen eines Kontos anzumelden, ist eine perfekte Lösung für große, verteilte Systeme.
- Zentrale Verwaltung: Alle GMSAs können zentral über Active Directory verwaltet werden. Dadurch können IT-Abteilungen Konten effektiver steuern, überwachen und melden. Die zentralisierte Verwaltung bietet auch umfassendere Möglichkeiten für richtlinienbasiertes Management und Automatisierung.
- SPNs-Management: in AD-Umgebungen mit gMSA SPN (Dienstprinzipalnamen) Das Management wird nützlicher.
gMSA-Anforderungen
Gruppenverwaltete Dienstkonten Für die Nutzung müssen einige Voraussetzungen erfüllt sein (GMSA). Diese Anforderungen sind wichtig, um sicherzustellen, dass GMSAs ordnungsgemäß funktionieren und verwaltet werden:
- Active Directory-Infrastruktur: GMSAs werden von Active Directory Domain Services (AD DS) unterstützt. Daher müssen Sie über eine Active Directory-Gesamtstruktur und -Domäne verfügen.
- Windows Server-Edition: Um GMSAs zu erstellen und zu verwalten, benötigen Sie einen Domänencontroller, auf dem mindestens Windows Server 2012 oder neuer auf der Gesamtstrukturebene ausgeführt wird.
- Für gMSA, das mit Server 2012 geliefert wird, wurden neue Attribute hinzugefügt:
- msDS-GroupMSAMembership
- msDS-ManagedPassword
- msDS-ManagedPasswordInterval
- msDS-ManagedPasswordID
- msDS-ManagedPasswordPreviousID
- Schemaanforderungen: Das Active Directory-Schema muss aktualisiert werden, um GMSAs zu unterstützen. Schemaaktualisierungen, die mit Windows Server 2012 oder höher ausgeliefert werden, sind erforderlich.
- KDS-Root-Schlüssel: Es ist erforderlich, den Root-Schlüssel des Key Distribution Service (KDS) zu installieren, der zum Erstellen von Passwörtern für gruppenverwaltete Dienstkonten verwendet wird. Ab Windows Server 2012 wird dieser Schlüssel automatisch in AD DS erstellt.
- Powershell: PowerShell-Cmdlets werden zum Verwalten von GMSAs verwendet. Daher ist es wichtig, mit diesen Cmdlets vertraut zu sein und sie verwenden zu können.
Gruppenverwaltete Dienstkonten Wie erstelle ich (gMSA)?
Group Managed Service Accounts (GMSAs) sind eine Technologie, die diese Protokolle vereinfacht und stärkt. Durch die Einrichtung von GMSAs können Organisationen ihre Dienste sicher betreiben.
1. Erfüllung der Voraussetzungen: Stellen Sie vor dem Erstellen von GMSA sicher, dass Ihr Active Directory-Schema auf dem neuesten Stand ist und der erforderliche KDS-Root-Schlüssel vorhanden ist. Darüber hinaus müssen Sie Zugriff auf ein Domänenadministratorkonto haben.
KDS-Root-Schlüssel erstellen: Falls es noch nicht erstellt wurde, SchlüsselverteilungsserviceSie müssen einen Root-Schlüssel für s erstellen. Dies kann mit PowerShell mit diesem Cmdlet erfolgen:
Unter normalen Umständen müssen Sie 10 Stunden auf den KDS-Root-Schlüssel warten. Für diesen Artikel verwenden wir den Befehl, der sofort wirksam ist.
Add-KDSRootKey –EffectiveTime (Get-Date).AddHours(-10)

gMSA Erstellen einer Gruppe für: gMSA Wir müssen eine Gruppe für die Computerkonten erstellen, die das Konto verwenden. Wir können dies mit Powershell oder tun ADUC Sie können verwenden.
Active Directory-Benutzer und -Computer (ADUC) Wir klicken mit der rechten Maustaste auf die Organisationseinheit, in der wir eine Gruppe erstellen und folgen den Schritten „Neu – Gruppe“. Die Gruppe, die wir erstellen werden, wird Global Security sein.

Anschließend müssen wir die zu verwendenden Computerkonten im Abschnitt „Mitglieder“ zu Gruppenmitgliedern machen.

Erstellen einer Sicherheitsgruppe mit Powershell:
New-ADGroup -DisplayName GMSAGruopDisplayName -GroupScope Global -GroupCategory Security -Name GMSAGroupName
Schritt zum Hinzufügen eines Gruppenmitglieds mit Powershell:
Add-ADGroupMember -Identity GMSAGroupName -Members "Eklenmesi Gereken Bilgisayar"
Gründung von GMSA: Um eine GMSA zu erstellen, New-ADServiceAccount Wir werden das PowerShell-Cmdlet verwenden.
New-ADServiceAccount -Name GMSA_Adi -DNSHostName GMSA.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "GrupAdi"

Dieser Befehl erstellt eine GMSA, in der eine bestimmte Gruppe von Servern das Passwort abrufen darf.
Wenn wir den Abschnitt „Verwaltete Dienstkonten“ im Abschnitt „Active Directory-Benutzer und -Computer“ öffnen, können wir das von uns erstellte gMSA-Konto sehen.

Einführung des gMSA-Kontos beim Server:
Um GMSA auf einem Server zu verwenden, müssen Sie zunächst das Konto zu diesem Server hinzufügen. Install-ADServiceAccount Sie können diesen Vorgang mit dem Cmdlet ausführen, und der entsprechende Server für diesen Vorgang ist ebenfalls vorhanden Das Active Directory Powershell-Modul muss installiert sein.
Sie können den folgenden Befehl auf Powershell ausführen, um das Active Directory Powershell-Modul zu installieren.
Add-WindowsFeature RSAT-AD-PowerShell
Verwendung von GMSA auf einem Server: Um GMSA auf einem Server zu verwenden, müssen Sie zunächst das Konto zu diesem Server hinzufügen. Install-ADServiceAccount Sie können diesen Vorgang mit dem Cmdlet ausführen:
Install-ADServiceAccount GMSA_Adi
Mit dem folgenden Befehl können Sie testen, ob das von Ihnen installierte installiert ist oder nicht.
Test-ADServiceAccount GMSA_Adi
In diesem Artikel haben wir über die GMSA-Erstellungsprozesse gesprochen. Wenn Sie eine NTP-Synchronisierung in Ihrer Active Directory-Umgebung durchführen müssen, können Sie dem folgenden Artikel folgen.
https://cengizyilmaz.net/domain-controller-saat-senkronizasyonu-ntp-sync/
„Was ist GMSA (Group Managed Service Accounts) und wie wird es konfiguriert?“ 2 Kommentare zu