GMSA (Group Managed Service Accounts) Nedir ve Nasıl Yapılandırılır?

yazar

Grup Yönetilen Hizmet Hesapları (GMSA – Group Managed Service Accounts), Microsoft Active Directory’nin (AD) bir özelliği olan Yönetilen Hizmet Hesapları’nın (MSA) gelişmiş bir versiyonudur.

Günümüzün hızla değişen teknoloji dünyasında, güvenlik her zamankinden daha fazla öncelik taşımaktadır. İşte burada Grup Yönetilen Hizmet Hesapları (GMSA – Group Managed Service Accounts), ağ güvenliğindeki kritik boşlukları doldurmak için Microsoft Active Directory’nin sunduğu yenilikçi bir çözüm olarak öne çıkar. GMSA‘lar, gelişmiş güvenlik ve otomasyon ihtiyaçlarını karşılayacak şekilde tasarlanmıştır ve böylece IT profesyonellerine önemli avantajlar sağlamaktadır.

Bu özellik ilk olarak Windows Server 2012‘de tanıtılmıştır. GMSA‘lar, özellikle otomatik ve güvenli bir şekilde parola yönetimi gerektiren hizmetler ve uygulamalar için tasarlanmıştır. Ağ üzerinde çalışan hizmetler için tasarlanan bu hesaplar, özellikle hizmetlerin birden fazla sunucuda yük dengelemesi ile çalışması gerektiğinde kullanışlıdır.

Makale İçeriği gizle
1 gMSA Nedir?
2 gMSA Avantajları
3 gMSA Gereksinimleri
4 Group Managed Service Accounts (gMSA) Nasıl Oluşturulur?
5 gMSA Hesabının Sunucuya Tanıtılması:

gMSA Nedir?

GMSA (Group Managed Service Accounts), Microsoft’un Yönetilen Hizmet Hesaplarına (MSA) bir adım daha ekleyerek geliştirdiği bir hesap türüdür. Windows Server 2012 ile hayatımıza giren bu hesaplar, hizmetlerin ve uygulamaların birden fazla sunucuda güvenli ve sorunsuz bir şekilde çalışmasını sağlamak üzere tasarlanmıştır.

gMSA Avantajları

  1. Otomatik Parola Yönetimi: GMSA‘ların belki de en büyük avantajı, otomatik parola değişikliğidir. Geleneksel hizmet hesapları, belirli aralıklarla manuel parola güncellemeleri gerektirirken, GMSA‘lar bu süreci tamamen otomatize eder. Active Directory, bu hesaplar için güçlü parolalar oluşturur ve bunları düzenli aralıklarla değiştirir. Bu özellik, insan hatasını ortadan kaldırır ve güvenlik ihlalleri riskini azaltır.
  2. Birden Çok Sunucu Kullanımı: GMSA‘lar, bir hesabın birden fazla sunucuda kullanılmasına izin verir. Bu, ölçeklenebilirlik ve yük dengeleme özelliklerine sahip uygulamalar için idealdir. Bir hesabın birden fazla instance’ında oturum açabilme yeteneği, büyük ve dağıtık sistemler için mükemmel bir çözümdür.
  3. Merkezi Yönetim: Tüm GMSA’lar, Active Directory üzerinden merkezi olarak yönetilebilir. Bu, IT departmanlarının hesapları daha etkin bir şekilde kontrol etmesine, izlemesine ve raporlamasına olanak tanır. Merkezi yönetim aynı zamanda, politika tabanlı yönetim ve otomasyon için daha geniş fırsatlar sunar.
  4. SPNs Yönetimi: gMSA ile AD ortamlarında ki SPN (Service Principal Names) yönetimi daha kullanışlı olmaktadır.

gMSA Gereksinimleri

Group Managed Service Accounts (GMSA) kullanmak için karşılanması gereken bazı ön gereksinimler bulunmaktadır. Bu gereksinimler, GMSA’ların düzgün bir şekilde çalışmasını ve yönetilmesini sağlamak için önemlidir:

  1. Active Directory Altyapısı: GMSA’lar, Active Directory Domain Services (AD DS) tarafından desteklenir. Bu nedenle, bir Active Directory ormanına ve etki alanına sahip olmanız gerekir.
  2. Windows Server Sürümü: GMSA’ları oluşturmak ve yönetmek için, forest seviyesinin en az Windows Server 2012 veya daha yeni bir sürümünü çalıştıran bir Domain Controller’a ihtiyacınız vardır.
    • Server 2012 ile gelen gMSA için yeni attributeler eklenmiştir:
    • msDS-GroupMSAMembership
    • msDS-ManagedPassword
    • msDS-ManagedPasswordInterval
    • msDS-ManagedPasswordID
    • msDS-ManagedPasswordPreviousID
  3. Schema Gereksinimleri: Active Directory şeması, GMSA’ları destekleyecek şekilde güncellenmiş olmalıdır. Windows Server 2012 veya üzeri bir sürümle birlikte gelen şema güncellemeleri gereklidir.
  4. KDS Root Key: Grup Yönetilen Hizmet Hesaplarının parolalarını oluşturmak için kullanılan Key Distribution Service (KDS) root key’inin kurulumu gerekmektedir. Windows Server 2012’den itibaren, bu anahtar AD DS’de otomatik olarak oluşturulur.
  5. PowerShell: GMSA’ları yönetmek için PowerShell cmdlet’leri kullanılır, bu nedenle bu cmdlet’lere aşina olmak ve onları kullanabilmek önemlidir.

Group Managed Service Accounts (gMSA) Nasıl Oluşturulur?

Grup Yönetilen Hizmet Hesapları (GMSA’lar), bu protokolleri basitleştiren ve güçlendiren bir teknolojidir. GMSA’ların oluşturulması, kuruluşların hizmetlerini güvenli bir şekilde çalıştırmasını sağlar.

1. Ön Koşulların Sağlanması: GMSA oluşturmadan önce, Active Directory şemanızın güncel olduğundan ve gerekli KDS root anahtarının mevcut olduğundan emin olun. Ayrıca, bir Domain Administrator hesabına erişiminizin olması gerekir.

KDS Root Key Oluşturma: Eğer henüz oluşturulmadıysa, Key Distribution Services için bir root key oluşturmanız gerekir. Bu, PowerShell kullanılarak şu cmdlet ile yapılabilir:

Normal şartlar da KDS Root key için 10 saat beklemeniz gerekmektedir, bu makale için hemen etkili olan komutu kullanacağız.

Add-KDSRootKey –EffectiveTime (Get-Date).AddHours(-10)

gMSA için Grup Oluşturma: gMSA hesabının kullanacak bilgisayar hesapları için bir grup oluşturmamız gerekmektedir. Bu işlemi Powershell ile yapabiliriz veya ADUC kullanabilirsiniz.

Active Directory Users and Computers (ADUC) üzerinden grup oluşturacağımız OU üzerine sağ tıklıyoruz ve New – Group adımlarını takip ediyoruz. Oluşturacağımız grup Global Security olacak.

Daha sonra Members bölümün den kullanılacak bilgisayar hesaplarını grup üyesi yapmamız gerekmektedir.

Powershell ile Security Group Oluşturma: 

New-ADGroup -DisplayName GMSAGruopDisplayName -GroupScope Global -GroupCategory Security -Name GMSAGroupName

Powershell ile Grup üyesi ekleme adımı: 

Add-ADGroupMember -Identity GMSAGroupName -Members "Eklenmesi Gereken Bilgisayar"

GMSA’nın Oluşturulması: Bir GMSA oluşturmak için, New-ADServiceAccount PowerShell cmdlet’ini kullanacağız. 

New-ADServiceAccount -Name GMSA_Adi -DNSHostName GMSA.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "GrupAdi"

Bu komut, belirli bir sunucu grubunun parolayı almasına izin verilen bir GMSA oluşturur.

Active Directory Users and Computers bölümün de Managed Service Accounts bölümünü açtığımız zaman oluşturmuş olduğumuz gMSA hesabını görebilmekteyiz.

gMSA Hesabının Sunucuya Tanıtılması:

GMSA’yı bir sunucuda kullanmak için, önce hesabı o sunucuya eklemeniz gerekir. Install-ADServiceAccount cmdlet’i ile bu işlemi gerçekleştirebilirsiniz, bu işlem için ilgili sunucu da Active Directory Powershell modülünün yüklü olması gerekmektedir.

Active Directory Powershell Modülünü yüklemek için aşağıdaki komutu Powershell üzerinde çalıştırabilirsiniz.

Add-WindowsFeature RSAT-AD-PowerShell

GMSA’nın Bir Sunucuda Kullanımı: GMSA’yı bir sunucuda kullanmak için, önce hesabı o sunucuya eklemeniz gerekir. Install-ADServiceAccount cmdlet’i ile bu işlemi gerçekleştirebilirsiniz:

Install-ADServiceAccount GMSA_Adi

Yüklemiş olduğunuz yüklenip yüklenmediğini Test etmek için aşağıda ki komutu kullanabilirsin.

Test-ADServiceAccount GMSA_Adi

Yorum yapın

© 2024 Cengiz YILMAZ • Microsoft MVP
DMCA.com Protection Status
Privacy Policy Terms Contact