Einrichten von delegierten verwalteten Dienstkonten

Ein delegiertes verwaltetes Dienstkonto (Managed Service Account, dMSA) ist ein Active Directory (AD)-Konto, das die sichere Verwaltung von Anmeldeinformationen ermöglicht. Im Gegensatz zu herkömmlichen Dienstkonten ist bei dMSAs keine manuelle Verwaltung von Passwörtern erforderlich, da AD das Passwort automatisch verwaltet und somit die Sicherheit gewährleistet. Darüber hinaus können dMSAs bestimmte Zugriffsrechte auf Ressourcen in der Domäne übertragen werden, was eine effiziente Möglichkeit zur Verwaltung der Zugriffskontrolle bietet. Das Einrichten eines dMSA ist derzeit nur in Windows Server Preview verfügbar.

Voraussetzungen

• Die Rolle Active Directory-Domänendienste muss auf Ihrem Gerät oder auf einem beliebigen Gerät installiert werden, wenn Sie Remoteverwaltungstools verwenden. Weitere Informationen finden Sie unter Installieren oder Deinstallieren von Rollen, Rollendiensten oder Features.
• Nachdem die Rolle installiert wurde, muss Ihr Gerät zu einem Domänencontroller (DC) heraufgestuft werden. In Server-Manager zeigt das Kennzeichnungssymbol eine neue Benachrichtigung an. Wählen Sie Server zu einem Domänencontroller heraufstufen aus, und führen Sie dann die erforderlichen Schritte aus.
• Im Gruppenrichtlinienobjekt für Clientgeräte muss Kerberos aktiviert sein im Pfad Computer Configuration\Administrative Templates\System\Kerberos.

Migrieren zu einem dMSA

Wenn das Dienstkonto, das zu einem dMSA migriert wird, Zugriff auf mehrere Server hat, muss zuerst eine Registrierungsrichtlinie angewendet werden, um sicherzustellen, dass das Konto standardmäßig auf den DC festgelegt ist. Führen Sie nach der Anmeldung mit dem dMSA Folgendes aus:

New-ItemProperty
 -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" 
 -Name "DelegatedMSAEnabled"
 -Value "1"
 -PropertyType DWORD
 -Force

Nachdem Sie die Registrierung geändert haben, können Sie ein Dienstkonto mit einem dMSA verknüpfen, indem Sie Folgendes ausführen:

Start-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>

Nachdem das Konto verknüpft ist, müssen die aktuellen ausgeführten Dienste für das Konto neu gestartet werden, indem Sie Folgendes ausführen:

Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service

Überprüfen Sie dann, ob die Eigenschaft PrincipalsAllowedToRetrieveManagedPassword für das dMSA-Objekt festgelegt ist:

Get-ADServiceAccount -Identity <DMSAName> -Properties PrincipalsAllowedToRetrieveManagedPassword

Hinweis

Wenn das Dienstkonto mit mehreren Geräten verbunden ist und die Migration beendet wurde, muss PrincipalsAllowedToRetrieveManagedPassword manuell aktualisiert werden.

Abschließen der Kontomigration

Warnung

Wenn Sie die Migration abschließen, löschen Sie niemals das ursprüngliche Dienstkonto für den Fall, dass sie die Migration rückgängig machen müssen, da andernfalls mehrere Probleme verursacht werden.

Um die Kontomigration abzuschließen, müssen herkömmliche Dienstkonten deaktiviert werden, um sicherzustellen, dass alle Dienste das dMSA verwenden, indem Sie Folgendes ausführen:

Complete-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>

Wenn das falsche Konto migriert wird, führen Sie Folgendes aus, um alle Schritte während der Migration rückgängig zu machen:

Undo-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>

Um ein Dienstkonto wieder in einen inaktiven oder nicht verknüpften Zustand zu rückgängig machen, führen Sie Folgendes aus:

Reset-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>

Erstellen eines dMSA

Um ein neues dMSA zu erstellen, öffnen Sie PowerShell als Administrator, und führen Sie Folgendes aus:

New-ADServiceAccount -Name <DMSAName> -DNSHostName <host> -CreateDelegatedServiceAccount -KerberosEncryptionType AES256

Weitere Informationen zu New-ADServiceAccount und verwandten Cmdlets finden Sie unter New-ADServiceAccount.

Anzeigen von dMSA-Ereignisprotokollen

Ereignisse können Sie mit der Ereignisanzeige (eventvwr.exe) anzeigen, indem Sie die folgenden Aktionen durchführen:

1. Klicken Sie mit der rechten Maustaste auf Start, und wählen Sie Ereignisanzeige aus.
2. Erweitern Sie im linken Fensterbereich Anwendungen und Dienste, und navigieren Sie zu Microsoft\Windows\Security-Kerberos\Operational.
3. Die Protokollierung für diesen Anbieter ist standardmäßig deaktiviert. Um sie zu aktivieren, klicken Sie mit der rechten Maustaste auf Operational, und wählen Sie Protokoll aktivieren aus.

Die folgende Tabelle beschreibt diese erfassten Ereignisse.

Ereignis-ID	Beschreibung
307	dMSA-Migration – Dieses Ereignis wird sowohl für dMSAs bei der Migration als auch für migrierte dMSAs geschrieben. Es enthält Informationen über das alte Dienstkonto und das neue dMSA.
308	dMSA-Berechtigungs-Add - Dieses Ereignis wird protokolliert, wenn ein Computer versucht, sich selbst zu den Prinzipalen hinzuzufügen, die während der Migration das verwaltete Kennwortfeld eines dMSA abrufen dürfen.
309	dMSA Key Fetch – Dieses Ereignis wird protokolliert, wenn der Kerberos-Client versucht, Schlüssel für einen dMSA vom Domänencontroller abzurufen.

Siehe auch

• Complete-ADServiceAccountMigration
• Reset-ADServiceAccountMigration
• Start-ADServiceAccountMigration
• Undo-ADServiceAccountMigration