Yönetilen Hizmet Hesaplarıyla Değerlendirmeleri Çalıştırma
Yönetilen Hizmet Hesapları (MSA'lar), şu anda desteklenen Active Directory Domain Services sürümlerinde mevcut olan bir tür güvenlik sorumlusudur. Hem bilgisayar hem de kullanıcı güvenliği sorumlularının özelliklerini paylaşırlar. Güvenlik gruplarına eklenebilir, kimlik doğrulaması yapabilir ve bir ağdaki kaynaklara erişim sağlayabilir. Hizmetler, IIS uygulama havuzları ve zamanlanmış görevler tarafından kullanılmaları amaçlanmıştır.
Yönetilen Hizmet Hesaplarının Avantajları
Yönetilen Hizmet Hesapları; hizmetleri, zamanlanmış görevleri ve IIS uygulama havuzlarını çalıştırmak için kullanıcı hesaplarını kullanmada bulunan belirli zorlukları ele alır:
- Otomatik parola yönetimi
- Basitleştirilmiş hizmet sorumlusu adı (SPN) yönetimi
- Etkileşimli olarak Windows'ta oturum açmak için kullanılamaz
- Hangi bilgisayarların yetkili ve kimliği doğrulanmış MSA'lar olduğunu ve bağlamlarında kod çalıştırdıklarını kolayca kontrol etme
Yönetilen Hizmet Hesaplarının kullanılabileceği İsteğe Bağlı Değerlendirmeler
Yönetilen Hizmet Hesapları, aşağıdaki İsteğe Bağlı Değerlendirmeleri çalıştırmak için yapılandırılabilir
- Active Directory
- Active Directory Güvenliği
- System Center Configuration Manager
- SharePoint
- SQL Server
- Windows İstemcisi
- Windows Server
Not
Yönetilen Hizmet Hesapları bazı çevre yapılandırmaları için Microsoft müşteri hizmetleri tarafından resmi olarak desteklenmez. Çoğu senaryoda çalışmalarına rağmen, çevre yapılandırmaları Yönetilen Hizmet Hesabı kullanımını engellediğinde bir etki alanı hesabı kullanmak gerekebilir.
Yönetilen Hizmet Hesapları Sağlama
Bir değerlendirmenin zamanlanmış görevini MSA olarak çalışacak şekilde yapılandırmanın önkoşulu, MSA'yı Active Directory Domain Services'ta sağlamak veya oluşturmaktır. Desteklenen değerlendirmelerin her biri, zamanlanmış görev hesabının başarılı bir şekilde çalıştırılması için yetkilendirme ve erişim gereksinimlerini belirtir. Zamanlanmış görev hesabının erişim gereksinimi ayrıntıları için desteklenen değerlendirmenin başlarken belgelerine ve önkoşullar belgelerine danışın.
İki tür yönetilen hizmet hesabı bulunur. İkisinden biri desteklenen değerlendirmelerde değerlendirmenin zamanlanmış görevi için yapılandırılabilir:
- Sanal Hesaplar olarak da bilinen Tek Başına Yönetilen Hizmet Hesaplarına yalnızca tek bir etki alanına katılmış bilgisayarda kimlik doğrulama yetkisi verilebilir.
- Grup Tarafından Yönetilen Hizmet Hesaplarına birkaç etki alanı bilgisayarında kimlik doğrulama yetkisi verilebilir.
Her iki MSA türünün sağlanması ve yapılandırılması için Windows PowerShell Active Directory modülü gerekir. Etki alanı denetleyicileri, genellikle etki alanı denetleyicisi rolünün yüklenmesi sırasında yüklenen bu PowerShell modülüne sahiptir.
Uzak Sunucu Yönetim Araçları'nın bir bileşeni olan modül Sunucu Yöneticisi aracılığıyla Windows Server SKU'larına eklenebilir. Modül Windows 10'a da eklenebilir.
Senaryo 1 – Tek Başına Yönetilen Hizmet Hesabı (sMSA)
Active Directory Domain Services orman şeması, tek başına yönetilen hizmet hesaplarını başarılı şekilde sağlamak için minimum Windows Server 2008 R2'de olmalıdır. Zamanlanmış görevleri sMSA olarak çalıştıran bilgisayarlar Windows Server 2012 veya daha yeni sürümleri çalıştırmalıdır.
İsteğe Bağlı Değerlendirmeleri çalıştırmak için bir sMSA sağlamanın üç adımı vardır:
- New-ADServiceAccount PowerShell cmdlet'i kullanarak sMSA oluşturun.
- Veri toplama makinesine Add-ADComputerServiceAccount PowerShell cmdlet'i kullanarak sMSA parolası alma yetkisi verin.
- Önkoşul belgeleri uyarınca yapılandırılan ilgili değerlendirme için sMSA'ya değerlendirilen ortama gerekli erişimi sağlayın.
Tek Başına Yönetilen Hizmet Hesabı Oluşturma
sMSA oluşturmak için Windows PowerShell Active Directory'nin yüklü olduğu bir etki alanı denetleyicisinden veya etki alanı üyesinden PowerShell oturumu içinde aşağıdaki komutu uygulayın. Bunun için Active Directory'de hesap oluşturmak için gerekli izinlere sahip bir hesap kullanmalısınız (Hesap Operatörleri veya Etki Alanı Yöneticileri varsayılan olarak gerekli izinlere sahiptir).
New-ADServiceAccount -Name <sMSAaccountname> -RestrictToSingleComputer
Örneğin: PS C:> New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer
Veri Toplama Makinesine sMSA Kullanma Yetkisi Verme
Veri toplama makinesine sMSA parolası alma yetkisi vermek için Windows PowerShell Active Directory'nin yüklü olduğu bir etki alanı denetleyicisinden veya etki alanı üyesinden PowerShell oturumu içinde aşağıdaki komutu uygulayın. Bunun için Active Directory'de hesap oluşturmak için gerekli izinlere sahip bir hesap kullanmalısınız (Hesap Operatörleri veya Etki Alanı Yöneticileri varsayılan olarak gerekli izinlere sahiptir).
Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”
Örneğin: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"
Veri Toplama Makinesine sMSA Yükleme
Veri toplama makinesindeki sMSA'nın önceden önbelleğe alınması, hesabın doğru şekilde sağlanması ve veri toplama makinesinin sMSA parolasını başarıyla çekip hesabı kullanabilmesi için önemli bir doğrulama adımıdır. Active Directory PowerShell modülünün yüklü olduğu veri toplama makinesinden aşağıdaki komutu çalıştırın.
Install-ADServiceAccount -Identity “sMSA samaccountname”
Örneğin: Install-ADServiceAccount -Identity "sMSA-SVC$"
Not
Bir cmdlet bulunamadı hatası geri dönerse Active Directory PowerShell modülünü, yukarıda yer alan Yönetilen Hizmet Hesapları Sağlama kısmında açıklandığı şekilde yükleyin.
Diğer hatalar için MSA kategori olayları ile ilgili Microsoft-Windows-Security-Netlogon/Operational olay günlüğü kanalını inceleyin.
Senaryo 2 – Grup Tarafından Yönetilen Hizmet Hesabı (gMSA)
Active Directory Domain Services orman şeması, grup tarafından yönetilen hizmet hesaplarını başarılı şekilde sağlamak için minimum Windows Server 2012'de olmalıdır. Zamanlanmış görevleri gMSA olarak çalıştıran bilgisayarlar Windows Server 2012 veya daha yeni sürümleri çalıştırmalıdır.
İsteğe Bağlı Değerlendirmeleri çalıştırmak için bir gMSA sağlamanın 3 adımı vardır:
- Add-KDSRootKey kullanarak Active Directory içinde Anahtar Dağıtım Hizmeti KDS Kök Anahtarı oluşturun.
- gMSA oluşturun ve veri toplama makinesine New-ADServiceAccount PowerShell cmdlet'i kullanarak gMSA parolası alma yetkisi verin.
- Önkoşul belgeleri uyarınca yapılandırılan ilgili değerlendirme için gMSA'ya değerlendirilen ortama gerekli erişimi sağlayın.
KDS Kök Anahtarı Sağlama
Active Directory ormanında oluşturulmadıysa ilk olarak KDS kök anahtarı oluşturulmalıdır. Mevcut bir KDS kök anahtarı olup olmadığını belirlemek için bir PowerShell oturumu içinden aşağıdaki komutu yürütün.
Get-KdsRootKey
Not
Bu komuttan sonuç döndürülmüyorsa Active Directory ormanında kök anahtarı yoktur.
KDS kök anahtarı oluşturmak için Windows PowerShell Active Directory'nin yüklü olduğu bir etki alanı denetleyicisinden veya etki alanı üyesinden PowerShell oturumu içinde aşağıdaki komutu uygulayın. Bunun için Active Directory'de hesap oluşturmak için gerekli izinlere sahip bir hesap kullanmalısınız (Orman kök etki alanında Kuruluş Yöneticisi ve Etki Alanı Yöneticileri varsayılan olarak gerekli izinlere sahiptir).
Add-KdsRootKey -EffectiveImmediately
Add-KdsRootKey -EffectiveImmediately, çoğaltmanın tüm DC'lere yakınsandığından emin olmak için 10 saat sonra gMSA'ların oluşturulmasına izin verir.
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) gMSA'ların hemen oluşturulmasına izin verir.
Orman çapında AD çoğaltma yakınsaması normal işlemler altında birkaç saat sürüyorsa bu yaklaşım gMSA'nın başarısız şekilde oluşturulmasına veya kullanılmasına yol açabilir.
Grup Tarafından Yönetilen Hizmet Hesabı Oluşturma
gMSA oluşturmak için Windows PowerShell Active Directory'nin yüklü olduğu bir etki alanı denetleyicisinden veya etki alanı üyesinden PowerShell oturumu içinde aşağıdaki komutu uygulayın. Bunun için Active Directory'de hesap oluşturmak için gerekli izinlere sahip bir hesap kullanmalısınız (Hesap Operatörleri veya Etki Alanı Yöneticileri varsayılan olarak gerekli izinlere sahiptir).
New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”
Örneğin: PS C:> New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"
Veri Toplama Makinesine gMSA Yükleme
Veri toplama makinesindeki gMSA'nın önceden önbelleğe alınması, hesabın doğru şekilde sağlanması ve veri toplama makinesinin gMSA parolasını başarıyla alıp hesabı kullanabilmesi için önemli bir doğrulama adımıdır. Active Directory PowerShell modülünün yüklü olduğu veri toplama makinesinden aşağıdaki komutu çalıştırın.
Install-ADServiceAccount -Identity “gMSA samaccountname”
Örneğin: Install-ADServiceAccount -Identity "gMSA-SVC$"
Not
Bir cmdlet bulunamadı hatası geri dönerse Active Directory PowerShell modülünü, yukarıda yer alan Yönetilen Hizmet Hesapları Sağlama kısmında açıklandığı şekilde yükleyin.
Diğer hatalar için MSA kategori olayları ile ilgili Microsoft-Windows-Security-Netlogon/Operational olay günlüğü kanalını inceleyin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin