Configuration des comptes de service administrés délégués

• S’applique à:

  ✅ Windows Server 2025

Un compte de service administré délégué (dMSA) est un compte d’Active Directory (AD) qui offre une gestion sécurisée et efficace des informations d’identification. Contrairement aux comptes de service traditionnels, les dMSA ne nécessitent pas de gestion manuelle des mots de passe, car AD s’en charge automatiquement. Avec les dMSA, des autorisations spécifiques peuvent être déléguées pour accéder aux ressources du domaine, ce qui réduit les risques de sécurité et offre une visibilité accrue, et fournit des journaux d’activité de compte de service.

La configuration d’un dMSA est actuellement disponible uniquement sur les appareils exécutant Windows Server 2025. Par rapport aux comptes de service traditionnels, DMSA constitue une approche plus sûre et plus facile à gérer pour la gestion des comptes de service. En migrant des services critiques vers dMSA, les organisations peuvent s’assurer qu'ils sont gérés de manière sécurisée et conforme. DMSA offre un niveau de sécurité plus élevé en proposant des mots de passe uniques et fréquemment renouvelés, ce qui réduit la probabilité d'un accès non autorisé et améliore la sécurité globale.

Prérequis

• Le rôle Services de domaine Active Directory doit être installé sur votre appareil ou sur n’importe quel appareil si vous utilisez des outils de gestion à distance. Pour en savoir plus, consultez Installer ou désinstaller des rôles, services de rôle ou fonctionnalités.
• Une fois le rôle installé, votre appareil doit être promu en tant que Contrôleur de Domaine (DC). Dans Gestionnaire de serveur, l’icône du drapeau affiche une nouvelle notification, sélectionnez Promouvoir ce serveur en contrôleur de domaine, puis complétez les étapes nécessaires.
• La clé racine KDS doit être générée sur le contrôleur de domaine avant la création ou la migration d'un dMSA. Exécutez Get-KdsRootKey dans PowerShell pour vérifier si la clé est disponible. Si la clé n’est pas disponible, elle peut être ajoutée en exécutant Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)).

Remarque

Pour utiliser le dMSA en tant que compte de service géré autonome (MSA) ou pour remplacer un compte de service ancien, il faut exécuter la commande suivante sur l’appareil client :

$params = @{
 Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
 Name = "DelegatedMSAEnabled"
 Value = 1
 Type = "DWORD"
}
Set-ItemProperty @params

Créer un dMSA autonome

Les instructions suivantes permettent aux utilisateurs de créer un dMSA sans migrer à partir d’un compte de service traditionnel.

1. Ouvrez une session PowerShell avec des droits d’administrateur, puis exécutez :

   $params = @{
    Name = "ServiceAccountName"
    DNSHostName = "DNSHostName"
    CreateDelegatedServiceAccount = $true
    KerberosEncryptionType = "AES256"
   }
   New-ADServiceAccount @params
   

2. Accordez l’autorisation à l’appareil spécifique de récupérer le mot de passe du compte de service dans AD :

   $params = @{
    Identity = "DMSA Name"
    PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
   }
   Set-ADServiceAccount @params
   

3. La valeur de la propriété msDS-DelegatedMSAState pour le dMSA doit être définie sur 3. Pour afficher la valeur actuelle de la propriété, exécutez :

   $params = @{
    Identity = "dMSAsnmp"
    Properties = "msDS-DelegatedMSAState"
   }
   Get-ADServiceAccount @params
   

   Pour définir cette valeur sur 3, exécutez :

   $params = @{
    Identity = "dMSAsnmp"
    Properties = @{
     "msDS-DelegatedMSAState" = 3
    }
   }
   Set-ADServiceAccount @params
   

Migrer vers un dMSA

Pour migrer un compte de service vers un dMSA, procédez comme suit :

1. Créez un dMSA selon la description dans Créer un dMSA autonome.

2. Lancez la migration de compte vers un dMSA :

   $params = @{
    Identity = "<DMSAName>"
    SupersededAccount = "<DN of service account>"
   }
   Start-ADServiceAccountMigration @params
   

3. Si le compte de service migré vers un dMSA a accès à plusieurs serveurs, une politique de registre doit d’abord être appliquée pour s’assurer qu’elle par défaut au DC. Une fois connecté en utilisant le dMSA, exécutez :

   $params = @{
    Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
    Name = "DelegatedMSAEnabled"
    Value = "1"
    PropertyType = "DWORD"
    Force = $true
   }
   New-ItemProperty @params
   

4. Une fois que les modifications apportées au registre sont appliquées et que le compte est lié, redémarrez les services en cours d’exécution pour le compte en exécutant :

   Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
   

Remarque

Dans le cas de figure où le compte de service est connecté à plusieurs appareils et que la migration est terminée, le PrincipalsAllowedToRetrieveManagedPassword doit être mis à jour manuellement.

Compléter la migration du compte

Avertissement

Lors de la finalisation de la migration, ne jamais supprimer le compte de service original au cas où vous auriez besoin de revenir à ce dernier après la migration, car cela cause un certain nombre de problèmes.

Pour compléter la migration du compte, les comptes de service traditionnels doivent être désactivés pour garantir que tous les services utilisent le dMSA.

Pour désactiver le compte de service traditionnel, exécutez la commande suivante :

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Si le mauvais compte est en train d’être migré, exécutez ce qui suit pour annuler toutes les étapes pendant la migration :

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Pour rétablir un compte de service à un état inactif ou non lié, exécutez :

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

Voir les journaux d’événements dMSA

Les événements peuvent être consultés à l'aide du visualiseur d'événements (eventvwr.exe) en effectuant les actions suivantes :

1. Cliquez avec le bouton droit de la souris sur Démarrer, puis sélectionnez Observateur d'événements.
2. Dans le volet de gauche, développez Applications et services et accédez à Microsoft\Windows\Security-Kerberos\Operational.
3. La journalisation pour ce fournisseur est désactivée par défaut, pour activer la journalisation, faites un clic droit Opérationnel et sélectionnez Activer le journal.

Le tableau suivant décrit les événements capturés.

ID de l’événement	Description
307	Migration dMSA : Cet événement est écrit pour les dMSA en cours de migration et pour ceux qui ont migré. Il contient des informations sur l’ancien compte de service et le nouveau dMSA.
308	Ajout de Permission dMSA : Cet événement est consigné lorsqu’une machine tente de s’ajouter elle-même aux principaux autorisés à récupérer le champ de mot de passe géré d’un dMSA pendant la migration.
309	Récupération de Clé dMSA : Cet événement est consigné lorsque le client Kerberos tente de récupérer les clés pour un dMSA auprès du contrôleur de domaine.

Voir aussi

• New-ADServiceAccount
• Complete-ADServiceAccountMigration
• Reset-ADServiceAccountMigration
• Start-ADServiceAccountMigration
• Undo-ADServiceAccountMigration