Infrastructure Architecture in a Box - Managed Service Accounts (MSA)
Windows Server 2008 R2 e Windows 7 incorpora dois novos tipos de contas de serviços chamado “Managed Service Accounts (MSA)” and “Virtual Accounts”. Desta vez vamos falar sobre os “Managed Service Accounts”
Considere um ambiente de hosters que precisam mudar todas as senhas de segurança a cada X meses. Isto é uma tarefa intensa, porque existem muitas senhas espalhadas em varios ambientes. Tentado eliminar este desafio muitas empresas desenvolvam seus próprios scripts e ferramentas com algungs etapas manuais. Agora, imagine que nos podemos eliminar completamente o esforço de mudança de senhas em cada uma das contas de serviço, sem qualquer risco de segurança! Isso é o que os Managed Service Accounts permitam. Essencialmente, o Active Directory se encarrega de a senha e gestão SPN para nós, que nos permite criar contas, atribuir-lhes um serviço do Windows, e nunca nos obrigam a atualizar a senha novamente!
Exemplo de um Ambiente
Um ambiente de teste poderia ser composto por duas máquinas virtuais. Uma maquinha poderia se tornar um controlador de domínio e o outro um computador membro do domínio. Ambas as máquinas são Windows Server 2008 R2. Windows 7 também é suportado como um computador membro, e você pode executar este com um domínio Windows Server 2008 ou 2003 Domínio, instalando o Active Directory Service Management Gateway e executar adprep / domainprep. Ambos as maquinhas precisam PowerShell instalado.
Um Managed Service Account pode ser atribuída apenas em um computador. Primeiro você precisa criar a conta, em seguida, atribuí-la a um servidor. Existem várias maneiras de fazer isso, mas eu vou mostrar a maneira mais fácil.
Tanto no domínio do computador ou computador membro:
- Abra o PowerShell
- Digite o seguinte, onde "ServicoTeste " é o nome da nova conta de serviço.
Criação do “Managed Service Account”:
-
Import-Module ActiveDirectory New-AdServiceAccount -name ServicoTeste
Isto cria um “Managed ServicAccount” no seu “Active Directory” na seção de “Managed Service Accounts”
Se você gostaria de saber mais sobre esta conta você precisa executar:
-
Get-AdServiceAccount –identity “ServicoTeste”
Agora que criamos a conta, nos precisamos atribuí-lo ao um computador. Lembre-se que só pode ser atribuído a um computador ao mesmo tempo. A partir do computador que você deseja atribuir a, digite o seguinte:
-
Install-AdServiceAccount -identity “ServicoTeste”
Para criar e atribuir o usuário, é isso!
Atribuir a um Serviço Windows
Agora que você criou a conta e atribuído a um computador, voçe preciso adicioná-la a um serviço Windows. É meio óbvio no nome, mas vale a pena ressaltar que estes são contas de serviço, e só pode ser utilizado para Windows Services. Você não pode fazer logon em um servidor com eles ou usá-las para outros fins. Para atribuir o usuário, em primeiro lugar você precisam abrir o Windows Services snap-in (services.msc). Encontre seu serviço e edita as propriedades.
Na guia de “Logon”, digite sua nova conta de serviço. Há alguns truques aqui:
- O nome do serviço tem um $ no final . Assim, para o meu domínio de teste X.X, minha conta de usuário é X.X \ ServicoTeste $
- Senha: Você não sabe qual é a senha? Não tem problema! Escreva qualquer coisa, ou deixar em branco. Apenas certifique-se que a senhas são iguais. O que você digita não será salvo por isso não é menos seguro se você deixar em branco.
Applicar Permissões
Como acontece com qualquer conta de usuário do Windows, você deve atribuir as permissões necessárias. Normalmente, o serviço em si precisa de pelo menos permissões de leitura, e se o serviço precisa ter acesso a qualquer outra coisa no disco ou no Registro, você deve conceder a nova conta as permissões adequadas.“Managed Service Accounts” são uma ótima maneira de gerenciar contas de serviços.
Deixa o Windows cuidar de senhas e SPN para você.
Uma explicação mais detalhada pode ser encontrada no “Service Accounts Step-by-Step Guide”.
Abraços Markus
Technorati Tags: Infrastructure Architecture in a Box,Windows 2008