Configuration des comptes de service administrés délégués
Un compte de service administré délégué (dMSA) est un compte d’Active Directory (AD) qui permet une gestion sécurisée des identifiants. Contrairement aux comptes de service traditionnels, les dMSA n’exigent pas de gestion manuelle des mots de passe car AD gère automatiquement le mot de passe, assurant ainsi sa sécurité. De plus, les dMSA peuvent se voir déléguer des permissions spécifiques pour accéder aux ressources dans le domaine, offrant ainsi un moyen efficace de gérer le contrôle d’accès. La configuration d’un dMSA est actuellement disponible uniquement dans Windows Server Preview.
Prérequis
- Le rôle Services de domaine Active Directory doit être installé sur votre appareil ou sur n’importe quel appareil si vous utilisez des outils de gestion à distance. Pour en savoir plus, consultez Installer ou désinstaller des rôles, services de rôle ou fonctionnalités.
- Une fois le rôle installé, votre appareil doit être promu en tant que Contrôleur de Domaine (DC). Dans Gestionnaire de serveur, l’icône du drapeau affiche une nouvelle notification, sélectionnez Promouvoir ce serveur en contrôleur de domaine, puis complétez les étapes nécessaires.
- Dans l’Objet de Stratégie de Groupe pour les appareils clients, Kerberos doit être activé dans le chemin Configuration ordinateur\Modèles administratifs\Système\Kerberos.
Migrer vers un dMSA
Si le compte de service migré vers un dMSA a accès à plusieurs serveurs, une politique de registre doit d’abord être appliquée pour s’assurer qu’elle par défaut au DC. Une fois connecté en utilisant le dMSA, exécutez :
New-ItemProperty
-Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
-Name "DelegatedMSAEnabled"
-Value "1"
-PropertyType DWORD
-Force
Après avoir modifié le registre, vous pouvez lier un compte de service à un dMSA en exécutant :
Start-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>
Une fois le compte lié, les services en cours d’exécution pour le compte doivent être redémarrés en exécutant :
Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
Ensuite, vérifiez que la propriété PrincipalsAllowedToRetrieveManagedPassword pour l’objet dMSA est définie :
Get-ADServiceAccount -Identity <DMSAName> -Properties PrincipalsAllowedToRetrieveManagedPassword
Remarque
Dans le cas de figure où le compte de service est connecté à plusieurs appareils et que la migration est terminée, le PrincipalsAllowedToRetrieveManagedPassword doit être mis à jour manuellement.
Compléter la migration du compte
Avertissement
Lors de la finalisation de la migration, ne jamais supprimer le compte de service original au cas où vous auriez besoin de revenir à ce dernier après la migration, car cela cause un certain nombre de problèmes.
Pour compléter la migration du compte, les comptes de service traditionnels doivent être désactivés pour garantir que tous les services utilisent le dMSA en exécutant :
Complete-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>
Si le mauvais compte est en train d’être migré, exécutez ce qui suit pour annuler toutes les étapes pendant la migration :
Undo-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>
Pour rétablir un compte de service à un état inactif ou non lié, exécutez :
Reset-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>
Créer un dMSA
Pour créer un nouveau dMSA, ouvrez PowerShell en tant qu’admin et exécutez :
New-ADServiceAccount -Name <DMSAName> -DNSHostName <host> -CreateDelegatedServiceAccount -KerberosEncryptionType AES256
Pour en savoir plus sur New-ADServiceAccount et les cmdlets associés, veuillez consulter la section New-ADServiceAccount.
Voir les journaux d’événements dMSA
Les événements peuvent être consultés à l'aide du visualiseur d'événements (eventvwr.exe) en effectuant les actions suivantes :
- Cliquez avec le bouton droit de la souris sur Démarrer, puis sélectionnez Observateur d'événements.
- Dans le volet de gauche, développez Applications et services et accédez à Microsoft\Windows\Security-Kerberos\Operational.
- La journalisation pour ce fournisseur est désactivée par défaut, pour activer la journalisation, faites un clic droit Opérationnel et sélectionnez Activer le journal.
Le tableau suivant décrit les événements capturés.
| ID de l’événement | Description |
|---|---|
| 307 | Migration dMSA : Cet événement est écrit pour les dMSA en cours de migration et pour ceux qui ont migré. Il contient des informations sur l’ancien compte de service et le nouveau dMSA. |
| 308 | Ajout de Permission dMSA : Cet événement est consigné lorsqu’une machine tente de s’ajouter elle-même aux principaux autorisés à récupérer le champ de mot de passe géré d’un dMSA pendant la migration. |
| 309 | Récupération de Clé dMSA : Cet événement est consigné lorsque le client Kerberos tente de récupérer les clés pour un dMSA auprès du contrôleur de domaine. |