Configuration des comptes de service administrés délégués

Un compte de service administré délégué (dMSA) est un compte d’Active Directory (AD) qui offre une gestion sécurisée et efficace des informations d’identification. Contrairement aux comptes de service traditionnels, les dMSA ne nécessitent pas de gestion manuelle des mots de passe, car AD s’en charge automatiquement. Avec les dMSA, des autorisations spécifiques peuvent être déléguées pour accéder aux ressources du domaine, ce qui réduit les risques de sécurité et offre une visibilité accrue, et fournit des journaux d’activité de compte de service.

La configuration d’un dMSA est actuellement disponible uniquement sur les appareils exécutant Windows Server 2025. Par rapport aux comptes de service traditionnels, DMSA constitue une approche plus sûre et plus facile à gérer pour la gestion des comptes de service. En migrant des services critiques vers dMSA, les organisations peuvent s’assurer qu'ils sont gérés de manière sécurisée et conforme. DMSA offre un niveau de sécurité plus élevé en proposant des mots de passe uniques et fréquemment renouvelés, ce qui réduit la probabilité d'un accès non autorisé et améliore la sécurité globale.

Prerequisites

• Le rôle Services de domaine Active Directory doit être installé sur votre appareil ou sur n’importe quel appareil si vous utilisez des outils de gestion à distance. Pour en savoir plus, consultez Installer ou désinstaller des rôles, services de rôle ou fonctionnalités.

• Une fois le rôle installé, votre appareil doit être promu en tant que Contrôleur de Domaine (DC). In Server Manager, the flag icon displays a new notification. Sélectionnez Promouvoir ce serveur vers un contrôleur de domaine, puis effectuez les étapes nécessaires.

• You must be a member of the Domain Admins or Enterprise Admins group, or have equivalent AD permissions, to create or migrate to a dMSA.

• Vérifiez qu’une relation de confiance bidirectionnelle est établie entre les forêts AD pertinentes pour soutenir l’authentification dans des scénarios inter-domaines et inter-forêts avec dMSA.

• La clé racine KDS doit être générée sur le contrôleur de domaine avant la création ou la migration d'un dMSA. Exécutez Get-KdsRootKey dans PowerShell pour vérifier si la clé est disponible. Si la clé n’est pas disponible, elle peut être ajoutée en exécutant Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)).

  Note

  Pour utiliser le dMSA en tant que compte de service géré autonome (MSA) ou pour remplacer un compte de service ancien, il faut exécuter la commande suivante sur l’appareil client :

  $params = @{
   Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
   Name = "DelegatedMSAEnabled"
   Value = 1
   Type = "DWORD"
  }
  Set-ItemProperty @params
  

Créer un dMSA autonome

Les instructions suivantes permettent aux utilisateurs de créer un dMSA sans migrer à partir d’un compte de service traditionnel.

1. Ouvrez une session PowerShell avec des droits d’administrateur, puis exécutez :

   $params = @{
    Name = "ServiceAccountName"
    DNSHostName = "DNSHostName"
    CreateDelegatedServiceAccount = $true
    KerberosEncryptionType = "AES256"
   }
   New-ADServiceAccount @params
   

2. Accordez l’autorisation à l’appareil spécifique de récupérer le mot de passe du compte de service dans AD :

   $params = @{
    Identity = "DMSA Name"
    PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
   }
   Set-ADServiceAccount @params
   

3. The msDS-DelegatedMSAState property value for the dMSA must be set to 3. Pour afficher la valeur actuelle de la propriété, exécutez :

   $params = @{
    Identity = "dMSAsnmp"
    Properties = "msDS-DelegatedMSAState"
   }
   Get-ADServiceAccount @params
   

   To set this value to 3, run:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = @{
     "msDS-DelegatedMSAState" = 3
    }
   }
   Set-ADServiceAccount @params
   

Migrer vers un dMSA

Pour migrer un compte de service vers un dMSA, procédez comme suit :

1. Créez un dMSA selon la description dans Créer un dMSA autonome.

2. Lancez la migration de compte vers un dMSA :

   $params = @{
    Identity = "<DMSAName>"
    SupersededAccount = "<DN of service account>"
   }
   Start-ADServiceAccountMigration @params
   

3. Si le compte de service migré vers un dMSA a accès à plusieurs serveurs, une politique de registre doit d’abord être appliquée pour s’assurer qu’elle par défaut au DC. Une fois connecté en utilisant le dMSA, exécutez :

   $params = @{
    Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
    Name = "DelegatedMSAEnabled"
    Value = "1"
    PropertyType = "DWORD"
    Force = $true
   }
   New-ItemProperty @params
   

4. Une fois que les modifications apportées au registre sont appliquées et que le compte est lié, redémarrez les services en cours d’exécution pour le compte en exécutant :

   Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
   

Note

In the case that the service account is connected to multiple devices and migration has ended, the PrincipalsAllowedToRetrieveManagedPassword needs to be updated manually.

Compléter la migration du compte

Warning

When finalizing the migration, never delete the original service account in case you need to revert back to it post migration as this causes several issues.

Pour compléter la migration du compte, les comptes de service traditionnels doivent être désactivés pour garantir que tous les services utilisent le dMSA.

Pour désactiver le compte de service traditionnel, exécutez la commande suivante :

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Si le mauvais compte est en train d’être migré, exécutez ce qui suit pour annuler toutes les étapes pendant la migration :

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Pour rétablir un compte de service à un état inactif ou non lié, exécutez :

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

Voir les journaux d’événements dMSA

Les événements peuvent être consultés à l'aide du visualiseur d'événements (eventvwr.exe) en effectuant les actions suivantes :

1. Right-click on Start and select Event Viewer.
2. Dans le volet de gauche, développez Applications et services et accédez à Microsoft\Windows\Security-Kerberos\Operational.
3. Logging for this provider is disabled by default, to enable logging, right-click on Operational and select Enable Log.

Le tableau suivant décrit les événements capturés.

Event ID	Description
307	dMSA Migration - This event is written for both dMSAs under migration and for ones that migrated. Il contient des informations sur l’ancien compte de service et le nouveau dMSA.
308	Ajout de Permission dMSA : Cet événement est consigné lorsqu’une machine tente de s’ajouter elle-même aux principaux autorisés à récupérer le champ de mot de passe géré d’un dMSA pendant la migration.
309	Récupération de Clé dMSA : Cet événement est consigné lorsque le client Kerberos tente de récupérer les clés pour un dMSA auprès du contrôleur de domaine.

See also

• New-ADServiceAccount
• Complete-ADServiceAccountMigration
• Reset-ADServiceAccountMigration
• Start-ADServiceAccountMigration
• Undo-ADServiceAccountMigration