Inrichten van gedelegeerde beheerde serviceaccounts

Een gedelegeerd beheerd serviceaccount (dMSA) is een Active Directory (AD)-account dat veiliger en efficiënt beheer van inloggegevens biedt. In tegenstelling tot traditionele serviceaccounts hoeven dMSA's geen handmatig wachtwoordbeheer te vereisen, omdat AD dit automatisch doet. Met dMSA's kunnen specifieke machtigingen worden gedelegeerd voor toegang tot resources in het domein, wat beveiligingsrisico's vermindert en betere zichtbaarheid en logboeken van serviceaccountactiviteit biedt.

Het instellen van een dMSA is momenteel alleen beschikbaar op apparaten met Windows Server 2025. DMSA is een veiligere en beheerbare benadering van serviceaccountbeheer in vergelijking met traditionele serviceaccounts. Door kritieke services naar dMSA te migreren, kunnen organisaties ervoor zorgen dat deze services op een veilige en compatibele manier worden beheerd. DMSA biedt een hoger beveiligingsniveau door unieke en vaak gerouleerde wachtwoorden aan te bieden, waardoor de kans op onbevoegde toegang wordt verminderd en de algehele beveiliging wordt verbeterd.

Prerequisites

• De rol Active Directory Domain Services moet op uw apparaat of op een apparaat worden geïnstalleerd als u hulpprogramma's voor extern beheer gebruikt. Voor meer informatie, zie Rollen, Rollendiensten of Functies installeren of verwijderen.

• Zodra de rol is geïnstalleerd, moet uw apparaat worden gepromoveerd naar een domeincontroller (DC). In Server Manager, the flag icon displays a new notification. Selecteer Deze server promoveren naar een domeincontroller en voer vervolgens de benodigde stappen uit.

• You must be a member of the Domain Admins or Enterprise Admins group, or have equivalent AD permissions, to create or migrate to a dMSA.

• Zorg ervoor dat er een tweerichtingsforestvertrouwensrelatie tot stand is gebracht tussen de relevante AD-forests ter ondersteuning van verificatie voor scenario's tussen domeinen en forests met dMSA.

• De KDS-hoofdsleutel moet worden gegenereerd op de DC voordat een dMSA wordt gemaakt of gemigreerd. Voer Get-KdsRootKey uit in PowerShell om te controleren of de sleutel beschikbaar is. Als de sleutel niet beschikbaar is, kan deze worden toegevoegd door deze uit te voeren Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)).

  Note

  Als u de dMSA wilt gebruiken als een zelfstandig beheerd serviceaccount (MSA) of als vervanging van een verouderd serviceaccount, moet de volgende opdracht worden uitgevoerd op het clientapparaat:

  $params = @{
   Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
   Name = "DelegatedMSAEnabled"
   Value = 1
   Type = "DWORD"
  }
  Set-ItemProperty @params
  

Een zelfstandige dMSA maken

Met de volgende instructies kunnen gebruikers een nieuwe dMSA maken zonder te migreren van een traditioneel serviceaccount.

1. Open een PowerShell-sessie met beheerdersrechten en voer het volgende uit:

   $params = @{
    Name = "ServiceAccountName"
    DNSHostName = "DNSHostName"
    CreateDelegatedServiceAccount = $true
    KerberosEncryptionType = "AES256"
   }
   New-ADServiceAccount @params
   

2. Geef het specifieke apparaat toestemming om het wachtwoord voor het serviceaccount in AD op te halen:

   $params = @{
    Identity = "DMSA Name"
    PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
   }
   Set-ADServiceAccount @params
   

3. The msDS-DelegatedMSAState property value for the dMSA must be set to 3. Als u de huidige eigenschapswaarde wilt weergeven, voert u het volgende uit:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = "msDS-DelegatedMSAState"
   }
   Get-ADServiceAccount @params
   

   To set this value to 3, run:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = @{
     "msDS-DelegatedMSAState" = 3
    }
   }
   Set-ADServiceAccount @params
   

Migreren naar een dMSA

Als u een serviceaccount wilt migreren naar een dMSA, voert u de volgende stappen uit:

1. Maak een dMSA die wordt beschreven in Een zelfstandige dMSA maken.

2. Accountmigratie naar een dMSA initiëren:

   $params = @{
    Identity = "<DMSAName>"
    SupersededAccount = "<DN of service account>"
   }
   Start-ADServiceAccountMigration @params
   

3. Als het serviceaccount dat wordt gemigreerd naar een dMSA toegang heeft tot meerdere servers, moet eerst een registerbeleid worden toegepast om ervoor te zorgen dat het standaard wordt ingesteld op de DC. Nadat u zich hebt aangemeld met behulp van de dMSA, voert u het volgende uit:

   $params = @{
    Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
    Name = "DelegatedMSAEnabled"
    Value = "1"
    PropertyType = "DWORD"
    Force = $true
   }
   New-ItemProperty @params
   

4. Zodra wijzigingen in het register zijn toegepast en het account is gekoppeld, start u de actieve services voor het account opnieuw door het volgende uit te voeren:

   Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
   

Note

In the case that the service account is connected to multiple devices and migration has ended, the PrincipalsAllowedToRetrieveManagedPassword needs to be updated manually.

Accountmigratie voltooien

Warning

When finalizing the migration, never delete the original service account in case you need to revert back to it post migration as this causes several issues.

Voor het voltooien van de accountmigratie moeten traditionele serviceaccounts worden uitgeschakeld om ervoor te zorgen dat alle services de dMSA gebruiken.

Voer de volgende opdracht uit om het traditionele serviceaccount uit te schakelen:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Als het verkeerde account wordt gemigreerd, voert u het volgende uit om alle stappen tijdens de migratie ongedaan te maken:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Als u een serviceaccount wilt terugzetten naar een inactieve of niet-gekoppelde status, voert u het volgende uit:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

DMSA-gebeurtenislogboeken weergeven

Gebeurtenissen kunnen worden bekeken met behulp van de Event Viewer (eventvwr.exe) door de volgende acties uit te voeren:

1. Right-click on Start and select Event Viewer.
2. Vouw in het linkerdeelvenster Toepassingen en Services uit en navigeer naar Microsoft\Windows\Security-Kerberos\Operational.
3. Logging for this provider is disabled by default, to enable logging, right-click on Operational and select Enable Log.

In de volgende tabel worden deze vastgelegde gebeurtenissen beschreven.

Event ID	Description
307	dMSA Migration - This event is written for both dMSAs under migration and for ones that migrated. Het bevat informatie over het oude serviceaccount en de nieuwe dMSA.
308	dMSA Permission Add - deze gebeurtenis wordt geregistreerd wanneer een computer probeert zichzelf toe te voegen aan de principalen die tijdens de migratie het beheerwachtwoordveld van een dMSA mogen ophalen.
309	dMSA-sleutel ophalen : deze gebeurtenis wordt geregistreerd wanneer de Kerberos-client probeert sleutels op te halen voor een dMSA van de domeincontroller.

See also

• New-ADServiceAccount
• Complete-ADServiceAccountMigration
• Reset-ADServiceAccountMigration
• Start-ADServiceAccountMigration
• Undo-ADServiceAccountMigration