Einrichten von delegierten verwalteten Dienstkonten

• Gilt für::

  ✅ Windows Server 2025

Ein delegiertes verwaltetes Dienstkonto (Managed Service Account, dMSA) ist ein Active Directory (AD)-Konto, das die sichere und effiziente Verwaltung von Anmeldeinformationen ermöglicht. Im Gegensatz zu herkömmlichen Dienstkonten ist bei dMSAs keine manuelle Kennwortverwaltung erforderlich, da AD sich automatisch darum kümmert. Mit dMSAs können bestimmte Berechtigungen an den Zugriff auf Ressourcen in der Domäne delegiert werden, wodurch Sicherheitsrisiken reduziert und bessere Sichtbarkeit und Protokolle der Dienstkontoaktivität bereitgestellt werden.

Das Einrichten eines dMSA ist derzeit nur auf Geräten mit Windows Server 2025 möglich. DMSA ist ein sichererer und verwaltbarer Ansatz für die Dienstkontoverwaltung im Vergleich zu herkömmlichen Dienstkonten. Durch die Migration kritischer Dienste zu dMSA können Organisationen sicherstellen, dass diese Dienste sicher und konform verwaltet werden. DMSA bietet ein höheres Sicherheitsniveau, indem eindeutige und häufig gedrehte Kennwörter angeboten werden, wodurch die Wahrscheinlichkeit eines nicht autorisierten Zugriffs reduziert und die Gesamtsicherheit verbessert wird.

Voraussetzungen

• Die Rolle Active Directory-Domänendienste muss auf Ihrem Gerät oder auf einem beliebigen Gerät installiert werden, wenn Sie Remoteverwaltungstools verwenden. Weitere Informationen finden Sie unter Installieren oder Deinstallieren von Rollen, Rollendiensten oder Features.
• Nachdem die Rolle installiert wurde, muss Ihr Gerät zu einem Domänencontroller (DC) heraufgestuft werden. In Server-Manager zeigt das Kennzeichnungssymbol eine neue Benachrichtigung an. Wählen Sie Server zu einem Domänencontroller heraufstufen aus, und führen Sie dann die erforderlichen Schritte aus.
• Der KDS-Stammschlüssel muss auf dem DC generiert werden, bevor ein dMSA erstellt oder migriert wird. Führen Sie Get-KdsRootKey in PowerShell aus, um zu überprüfen, ob der Schlüssel verfügbar ist. Wenn der Schlüssel nicht verfügbar ist, kann er durch Ausführen von Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))hinzugefügt werden.

Hinweis

Um das dMSA als eigenständiges verwaltetes Dienstkonto (Managed Service Account, MSA) zu verwenden oder ein älteres Dienstkonto zu ersetzen, muss der folgende Befehl auf dem Clientgerät ausgeführt werden:

$params = @{
 Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
 Name = "DelegatedMSAEnabled"
 Value = 1
 Type = "DWORD"
}
Set-ItemProperty @params

Eigenständiges dMSA erstellen

Mit den folgenden Anweisungen können Benutzer ein neues dMSA erstellen, ohne von einem herkömmlichen Dienstkonto zu migrieren.

1. Öffnen Sie eine PowerShell-Sitzung mit Administratorrechten, und führen Sie folgenden Befehl aus:

   $params = @{
    Name = "ServiceAccountName"
    DNSHostName = "DNSHostName"
    CreateDelegatedServiceAccount = $true
    KerberosEncryptionType = "AES256"
   }
   New-ADServiceAccount @params
   

2. Erteilen Sie dem spezifischen Gerät die Berechtigung zum Abrufen des Kennworts für das Dienstkonto in AD:

   $params = @{
    Identity = "DMSA Name"
    PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
   }
   Set-ADServiceAccount @params
   

3. Der Wert der msDS-DelegatedMSAState-Eigenschaft für das dMSA muss auf 3 festgelegt werden. Um den aktuellen Eigenschaftswert anzuzeigen, führen Sie Folgendes aus:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = "msDS-DelegatedMSAState"
   }
   Get-ADServiceAccount @params
   

   Führen Sie Folgendes aus, um diesen Wert auf 3 festzulegen:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = @{
     "msDS-DelegatedMSAState" = 3
    }
   }
   Set-ADServiceAccount @params
   

Migrieren zu einem dMSA

Führen Sie die folgenden Schritte aus, um ein Dienstkonto zu einem dMSA zu migrieren:

1. Erstellen Sie ein dMSA, das unter Eigenständiges dMSA erstellen beschrieben ist.

2. Initiieren der Kontomigration zu einem dMSA:

   $params = @{
    Identity = "<DMSAName>"
    SupersededAccount = "<DN of service account>"
   }
   Start-ADServiceAccountMigration @params
   

3. Wenn das Dienstkonto, das zu einem dMSA migriert wird, Zugriff auf mehrere Server hat, muss zuerst eine Registrierungsrichtlinie angewendet werden, um sicherzustellen, dass das Konto standardmäßig auf den DC festgelegt ist. Führen Sie nach der Anmeldung mit dem dMSA Folgendes aus:

   $params = @{
    Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
    Name = "DelegatedMSAEnabled"
    Value = "1"
    PropertyType = "DWORD"
    Force = $true
   }
   New-ItemProperty @params
   

4. Nachdem die Änderungen an der Registrierung übernommen wurden und das Konto verknüpft ist, starten Sie die ausgeführten Dienste für das Konto neu, indem Sie Folgendes ausführen:

   Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
   

Hinweis

Wenn das Dienstkonto mit mehreren Geräten verbunden ist und die Migration beendet wurde, muss PrincipalsAllowedToRetrieveManagedPassword manuell aktualisiert werden.

Abschließen der Kontomigration

Warnung

Wenn Sie die Migration abschließen, löschen Sie niemals das ursprüngliche Dienstkonto für den Fall, dass sie die Migration rückgängig machen müssen, da andernfalls mehrere Probleme verursacht werden.

Um die Kontomigration abzuschließen, müssen herkömmliche Dienstkonten deaktiviert werden, um sicherzustellen, dass alle Dienste das dMSA verwenden.

Führen Sie den folgenden Befehl aus, um das herkömmliche Dienstkonto zu deaktivieren:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Wenn das falsche Konto migriert wird, führen Sie Folgendes aus, um alle Schritte während der Migration rückgängig zu machen:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Um ein Dienstkonto wieder in einen inaktiven oder nicht verknüpften Zustand zu rückgängig machen, führen Sie Folgendes aus:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

Anzeigen von dMSA-Ereignisprotokollen

Ereignisse können Sie mit der Ereignisanzeige (eventvwr.exe) anzeigen, indem Sie die folgenden Aktionen durchführen:

1. Klicken Sie mit der rechten Maustaste auf Start, und wählen Sie Ereignisanzeige aus.
2. Erweitern Sie im linken Fensterbereich Anwendungen und Dienste, und navigieren Sie zu Microsoft\Windows\Security-Kerberos\Operational.
3. Die Protokollierung für diesen Anbieter ist standardmäßig deaktiviert. Um sie zu aktivieren, klicken Sie mit der rechten Maustaste auf Operational, und wählen Sie Protokoll aktivieren aus.

Die folgende Tabelle beschreibt diese erfassten Ereignisse.

Ereignis-ID	Beschreibung
307	dMSA-Migration – Dieses Ereignis wird sowohl für dMSAs bei der Migration als auch für migrierte dMSAs geschrieben. Es enthält Informationen über das alte Dienstkonto und das neue dMSA.
308	dMSA-Berechtigungs-Add - Dieses Ereignis wird protokolliert, wenn ein Computer versucht, sich selbst zu den Prinzipalen hinzuzufügen, die während der Migration das verwaltete Kennwortfeld eines dMSA abrufen dürfen.
309	dMSA Key Fetch – Dieses Ereignis wird protokolliert, wenn der Kerberos-Client versucht, Schlüssel für einen dMSA vom Domänencontroller abzurufen.

Siehe auch

• New-ADServiceAccount
• Complete-ADServiceAccountMigration
• Reset-ADServiceAccountMigration
• Start-ADServiceAccountMigration
• Undo-ADServiceAccountMigration