Ausführung von Bewertungen mit verwalteten Dienstkonten
Verwaltete Dienstkonten (Managed Service Accounts, MSAs) sind eine Art von Sicherheitsprinzip, der in derzeit unterstützten Versionen von Active Directory-Domänendiensten verfügbar ist. Sie teilen die Merkmale von Sicherheitsprinzipien für Computer und Benutzer. Sie können zu Sicherheitsgruppen hinzugefügt werden, sich authentifizieren und auf Ressourcen in einem Netzwerk zugreifen. Sie sollen von Diensten, IIS-Anwendungspools und geplanten Aufgaben verwendet werden.
Vorteile von verwalteten Dienstkonten
Verwaltete Dienstkonten adressieren spezifische Herausforderungen bei der Verwendung von Benutzerkonten für die Ausführung von Diensten, geplanten Aufgaben und IIS-Anwendungspools:
- Automatische Passwortverwaltung
- Vereinfachte Verwaltung von Dienstprinzipalnamen (SPN)
- Kann nicht für die interaktive Anmeldung bei Windows verwendet werden
- Sie können auf einfache Weise steuern, welche Computer berechtigt sind, MSAs authentifizieren und Code in ihrem Kontext auszuführen
On-Demand-Bewertungen, die verwaltete Dienstkonten verwenden können
Verwaltete Dienstkonten können für die Ausführung der folgenden On-Demand-Bewertungen konfiguriert werden
- Active Directory
- Active Directory-Sicherheit
- System Center Configuration Manager
- SharePoint
- SQL Server
- Windows-Client
- Windows Server
Hinweis
Verwaltete Dienstkonten werden vom Microsoft-Kundendienst für einige Umgebungskonfigurationen nicht offiziell unterstützt. Obwohl sie in den meisten Szenarien funktionieren, kann es erforderlich sein, ein Domänenkonto zu verwenden, wenn Umgebungskonfigurationen die Verwendung von verwalteten Dienstkonten verhindern.
Bereitstellen verwalteter Dienstkonten
Eine Voraussetzung für die Konfiguration einer geplanten Task für die Beurteilung als MSA ist die Bereitstellung oder Erstellung des MSA in den Active Directory-Domänendiensten. In jeder der unterstützten Beurteilungen werden die Berechtigungs- und Zugriffsanforderungen des geplanten Task-Kontos für die erfolgreiche Ausführung angegeben. Konsultieren Sie die unterstützte Bewertung der Jetzt starten-Dokumente und der Voraussetzungsdokumente für die Details der Zugriffsanforderung auf das Konto der geplanten Aufgabe.
Es gibt zwei Arten von verwalteten Dienstkonten. Sie können entweder die geplante Testaufgabe für die unterstützten Bewertungen auf folgende Weise konfigurieren:
- Eigenständig verwaltete Dienstkonten (auch als virtuelle Konten bezeichnet) können nur autorisiert werden, um sich auf einem einzelnen, mit einer Domäne verbundenen Computer zu authentifizieren.
- Gruppenverwaltete Dienstkonten können zur Authentifizierung auf mehreren Domänencomputern autorisiert werden.
Das Windows PowerShell Active Directory-Modul ist für die Bereitstellung und Konfiguration beider MSA-Typen erforderlich. Bei Domänencontrollern wird dieses PowerShell-Modul normalerweise während der Installation der Domänencontrollerrolle installiert.
Das Modul, eine Komponente der Remote Server Administrator-Tools, kann Windows Server-SKUs über den Server-Manager hinzugefügt werden. Das Modul kann auch zu Windows 10 hinzugefügt werden.
Erstes Szenario - Standalone verwaltetes Dienstkonto (sMSA)
Das Gesamtstrukturschema der Active Directory-Domänendienste muss mindestens Windows Server 2008 R2 aufweisen, um eigenständige verwaltete Dienstkonten erfolgreich bereitzustellen. Auf Computern, die geplante Aufgaben als sMSA ausführen, muss Windows Server 2012 oder neuer ausgeführt werden.
Es gibt drei Schritte, um eine sMSA für die Durchführung von On-Demand-Bewertungen bereitzustellen:
- Erstellen Sie den sMSA mit dem New-ADServiceAccount PowerShell-Cmdlet.
- Autorisieren Sie die Datenerfassungsmaschine, um das Kennwort für den sMSA mithilfe des Add-ADComputerServiceAccount PowerShell-Cmdlets zu erhalten.
- Gewähren Sie der sMSA den erforderlichen Zugriff auf die zu bewertende Umgebung gemäß der Dokumentation der Voraussetzungen für die zu konfigurierende relevante Bewertung.
Erstellen von Standalone verwalteten Dienstkonten
Um das sMSA zu erstellen, führen Sie den folgenden Befehl innerhalb einer PowerShell-Sitzung von einem Domänencontroller oder Domänenmitglied aus aus, auf dem das Windows PowerShell Active Directory-Modul installiert ist, wobei ein Konto mit den erforderlichen Berechtigungen zum Erstellen von Konten in Active Directory verwendet wird (Kontobetreiber oder Domänenadministratoren verfügen standardmäßig über die notwendige Berechtigungen).
New-ADServiceAccount -Name <sMSAaccountname> -RestrictToSingleComputer
Zum Beispiel: PS C:> New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer
Autorisierung der Datenerfassungsmaschine zur Verwendung von sMSA
Um die Datenerfassungsmaschine zum Abrufen des Kennworts für den sMSA zu autorisieren, führen Sie den folgenden Befehl innerhalb einer PowerShell-Sitzung von einem Domänencontroller oder Domänenmitglied aus, auf dem das Windows PowerShell Active Directory-Modul installiert ist, wobei ein Konto mit den erforderlichen Berechtigungen zum Erstellen von Konten in Active Directory verwendet wird (Kontobetreiber oder Domänenadministratoren verfügen standardmäßig über die notwendige Berechtigungen).
Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”
Zum Beispiel: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"
Installation von sMSA auf dem Computer für die Datensammlung
Die vorgeschaltete Zwischenspeicherung des sMSA auf dem Computer für die Datensammlung stellt einen wichtigen Validierungsschritt dar, um sicherzustellen, dass das Konto ordnungsgemäß bereitgestellt wird und der Computer für die Datensammlung das sMSA-Kennwort erfolgreich abrufen und das Konto verwenden kann. Führen Sie auf dem Computer für die Datensammlung mit dem installierten Active Directory-PowerShell-Modul folgenden Befehl aus.
Install-ADServiceAccount -Identity “sMSA samaccountname”
Zum Beispiel: Install-ADServiceAccount -Identity "sMSA-SVC$"
Hinweis
Wenn ein Fehler "Cmdlet nicht gefunden" zurückgegeben wird, installieren Sie das Active Directory-Powershell-Modul, das oben unter Bereitstellen von verwalteten Dienstkonten erläutert wird.
Weitere Fehler finden Sie im Microsoft-Windows-Security-Netlogon/Operational Event Log Channel für Ereignisse der MSA-Kategorie.
Zweites Szenario - Standalone verwaltetes Dienstkonto (gMSA)
Das Gesamtstrukturschema der Active Directory-Domänendienste muss mindestens Windows Server 2012, um eigenständige verwaltete Dienstkonten erfolgreich bereitzustellen. Auf Computern, die geplante Aufgaben als gMSA ausführen, muss Windows Server 2012 oder ein neuerer ausgeführt werden.
Es gibt drei Schritte, um eine gMSA für die Durchführung von On-Demand-Bewertungen bereitzustellen:
- Erstellen Sie den Key Distribution Services-KDS-Stammschlüssel in Active Directory mithilfe von Add-KDSRootKey
- Erstellen Sie die gMSA und autorisieren Sie Datenerfassungsmaschine, um das Kennwort für den gMSA mithilfe des Add-ADComputerServiceAccount PowerShell-Cmdlets zu erhalten.
- Gewähren Sie der gMSA den erforderlichen Zugriff auf die zu bewertende Umgebung gemäß der Dokumentation der Voraussetzungen für die zu konfigurierende relevante Bewertung.
Bereitstellung von KDS-Stammschlüssel
Der KDS-Stammschlüssel muss zuerst erstellt werden, wenn er noch nie in der Active Directory-Gesamtstruktur erstellt wurde. Führen Sie den folgenden Befehl innerhalb einer PowerShell-Sitzung aus, um festzustellen, ob ein KDS-Stammschlüssel vorhanden ist.
Get-KdsRootKey
Hinweis
Wenn von diesem Befehl nichts zurückgegeben wird, ist in der Active Directory-Gesamtstruktur kein Stammschlüssel vorhanden.
Um den KDS- Stammschlüssel zu erstellen, führen Sie den folgenden Befehl innerhalb einer PowerShell-Sitzung von einem Domänencontroller oder Domänenmitglied aus aus, auf dem das Windows PowerShell Active Directory-Modul installiert ist, wobei ein Konto mit den erforderlichen Berechtigungen zum Erstellen von Konten in Active Directory verwendet wird (Unternehmensadministratoren oder Domänenadministratoren der Gesamtstrukturdomäne verfügen standardmäßig über die notwendige Berechtigungen).
Add-KdsRootKey -EffectiveImmediately
Add-KdsRootKey -EffectiveImmediately ermöglicht die Erstellung von gMSAs nach 10 Stunden, um sicherzustellen, dass die Replikation für alle DCs konvergiert wurde.
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Add-KdsRootKey -EffectiveTime ((get-date).addhours (-10)) ermöglicht die sofortige Erstellung von gMSAs.
Dieser Ansatz birgt einige Risiken der fehlgeschlagenen Erstellung oder Verwendung von gMSA, wenn die Gesamtstruktur der AD-Replikationskonvergenz im normalen Betrieb mehrere Stunden dauert.
Erstellen von gruppenverwalteten Dienstkonten
Um das gMSA zu erstellen, führen Sie den folgenden Befehl innerhalb einer PowerShell-Sitzung von einem Domänencontroller oder Domänenmitglied aus aus, auf dem das Windows PowerShell Active Directory-Modul installiert ist, wobei ein Konto mit den erforderlichen Berechtigungen zum Erstellen von Konten in Active Directory verwendet wird (Kontobetreiber oder Domänenadministratoren verfügen standardmäßig über die notwendige Berechtigungen).
New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”
Zum Beispiel: PS C:> New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword „oms-ad-tools$“
Installieren von gMSA auf dem Datensammlerrechner
Das Pre-Caching der gMSA auf dem Datenerfassungsgerät dient einem wichtigen Validierungsschritt, um sicherzustellen, dass das Konto korrekt bereitgestellt wird und das Datenerfassungsgerät das gMSA-Passwort erfolgreich abrufen und das Konto verwenden kann. Führen Sie auf dem Computer für die Datensammlung mit dem installierten Active Directory-PowerShell-Modul folgenden Befehl aus.
Install-ADServiceAccount -Identity “gMSA samaccountname”
Zum Beispiel: Install-ADServiceAccount -Identity "gMSA-SVC$"
Hinweis
Wenn ein Fehler "Cmdlet nicht gefunden" zurückgegeben wird, installieren Sie das Active Directory-Powershell-Modul, das oben unter Bereitstellen von verwalteten Dienstkonten erläutert wird.
Weitere Fehler finden Sie im Microsoft-Windows-Security-Netlogon/Operational Event Log Channel für Ereignisse der MSA-Kategorie.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für