Delen via

Evaluaties uitvoeren met beheerde serviceaccounts

  • Artikel

Beheerde serviceaccounts (MSA's, Managed Service Accounts) zijn een soort beveiligingsprincipal dat## beschikbaar is in de huidige ondersteunde versies van Active Directory Domain Services. Ze hebben kenmerken van zowel computer- als gebruikersbeveiligingsprincipals. Ze kunnen worden toegevoegd aan beveiligingsgroepen, kunnen zich authenticeren en toegang krijgen tot resources op een netwerk. Ze zijn bedoeld voor gebruik door diensten, IIS-toepassingspools en geplande taken.

Voordelen van beheerde serviceaccounts

Beheerde serviceaccounts pakken specifieke uitdagingen aan die inherent zijn aan het gebruik van gebruikersaccounts voor het uitvoeren van services, geplande taken en IIS-toepassingspools:

  • Automatisch wachtwoordbeheer
  • Vereenvoudigd beheer van de principalnaam van de service (service principal name, SPN)
  • Kan niet worden gebruikt om interactief in te loggen in Windows
  • Controleer eenvoudig welke computers geautoriseerde MSA's zijn en voer de code uit in hun context.

Evaluaties op Aanvraag die van beheerde serviceaccounts gebruik kunnen maken

Beheerde serviceaccounts kunnen geconfigureerd worden voor het uitvoeren van de volgende evaluaties op aanvraag

  • Active Directory
  • Active Directory-beveiliging
  • System Center Configuration Manager
  • SharePoint
  • SQL Server
  • Windows Client
  • Windows Server

Opmerking

Beheerde serviceaccounts worden voor sommige omgevingsconfiguraties niet officieel ondersteund door de Microsoft-klantenservice. Hoewel ze in de meeste scenario's werken, kan het nodig zijn om een domeinaccount te gebruiken wanneer omgevingsconfiguraties het gebruik van beheerde serviceaccounts verhinderen.

Beheerde serviceaccounts maken

Een voorwaarde voor het configureren van een geplande evaluatietaak die als MSA wordt uitgevoerd, is het bieden of creëren van de MSA in Active Directory Domain Services. Elk van de ondersteunde evaluaties specificeert de autorisatie- en toegangsvereisten van het geplande takenaccount voor succesvolle uitvoer. Raadpleeg de ondersteunde opstartdocumenten en het document met Vereisten voor de details die nodig zijn om toegang te krijgen tot de account voor geplande taken.

Er zijn twee soorten beheerde serviceaccounts. Beide kunnen worden geconfigureerd voor de geplande evaluatietaak voor de ondersteunde evaluaties:

  • Zelfstandig Beheerde Serviceaccounts (ook bekend als Virtuele Accounts) kunnen alleen worden geautoriseerd voor authenticatie op een enkele domeincomputer.
  • Beheerde Groepserviceaccounts kunnen worden geautoriseerd om zich op verschillende domeincomputers te authenticeren.

De Windows PowerShell Active Directory-module is vereist voor het maken en de configuratie van beide typen MSA's. Domeincontrollers hebben deze PowerShell-module meestal geïnstalleerd tijdens de installatie van de domeincontrollerrol.

De module, een onderdeel van de Remote Server Administrator Tools, kan via Server Manager aan Windows Server SKU's worden toegevoegd. De module kan ook aan Windows 10 worden toegevoegd.

Scenario 1 - Zelfstandige beheerde serviceaccount (Standalone MSA, oftewel sMSA)

Active Directory Domain Services-forestschema moet minimaal op Windows Server 2008 R2 zijn om zelfstandige beheerde serviceaccounts te kunnen maken. Computers die als sMSA geplande taken uitvoeren, moeten Windows Server 2012 of nieuwer hebben.

Er zijn drie stappen om een sMSA te maken voor het uitvoeren van evaluaties op aanvraag:

  1. Maak de sMSA aan met behulp van het New-ADServiceAccount PowerShell-cdmlet.
  2. Autoriseer de gegevensverzamelingsmachine om het wachtwoord voor de sMSA te verkrijgen met behulp van het Add-ADComputerServiceAccount PowerShell-cmdlet.
  3. Geef de sMSA de vereiste toegang tot de omgeving die wordt geëvalueerd volgens de vereiste documentatie voor het configureren van de betreffende evaluatie.

Een zelfstandige beheerde serviceaccount (sMSA) maken

Om de sMSA te maken voer je de volgende opdracht uit binnen een PowerShell-sessie van een domeincontroller of een domeinlid met de Windows PowerShell Active Directory-module die is geïnstalleerd met behulp van een account met de nodige machtigingen om accounts in Active Directory te maken (accountoperators of domeinbeheerders beschikken standaard over de noodzakelijke machtigingen).

New-ADServiceAccount -Name <sMSAaccountname>  -RestrictToSingleComputer

Bijvoorbeeld: PS C:> New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer

De gegevensverzamelingsmachine machtigen om sMSA te gebruiken

Om de gegevensverzamelingsmachine te machtigen om het wachtwoord voor de sMSA te verkrijgen voer je de volgende opdracht uit binnen een PowerShell-sessie van een domeincontroller of een domeinlid met de Windows PowerShell Active Directory-module die is geïnstalleerd met behulp van een account met de nodige machtigingen om accounts in Active Directory te maken (accountoperators of domeinbeheerders beschikken standaard over de noodzakelijke machtigingen).

Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”

Bijvoorbeeld: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"

sMSA op het apparaat voor gegevensverzameling installeren

Het van tevoren opslaan in cache van de sMSA op het apparaat voor gegevensverzameling is een belangrijke stap in het validatieproces. Door middel van deze stap wordt ervoor gezorgd dat het account correct wordt ingericht en dat het apparaat voor gegevensverzameling het sMSA-wachtwoord kan ophalen en het account kan gebruiken. Vanaf het apparaat voor gegevensverzameling waarop Active Directory Powershell-module staat geïnstalleerd, voer je het volgende uit.

Install-ADServiceAccount -Identity “sMSA samaccountname”

Bijvoorbeeld: Install-ADServiceAccount -Identity "sMSA-SVC$"

Opmerking

Als de cmdlet niet gevonden fout wordt weergegeven, installeer je de Active Directory Powershell-module zoals wordt uitgelegd in Bepaling Beheerde Serviceaccounts bovenaan.

Raadpleeg voor andere fouten het kanaal Microsoft-Windows-Security-Netlogon/Operationeel event log voor gebeurtenissen van MSA-categorieën.

Scenario 2 - Beheerde groepserviceaccount (gMSA)

Active Directory Domain Services-forestschema moet minimaal op Windows Server 2012 zijn om beheerde groepserviceaccounts te kunnen maken. Computers die als gMSA geplande taken uitvoeren, moeten Windows Server 2012 of nieuwer hebben.

Er zijn drie stappen om een gMSA te maken voor het uitvoeren van evaluaties op aanvraag:

  1. Maak de Key Distribution Services (KDS)-hoofdsleutel aan binnen Active Directory met behulp van Add-KDSRootKey
  2. Maak de gMSA aan en machtig de gegevensverzamelingsmachine om het wachtwoord voor de gMSA te verkrijgen met behulp van het New-ADServiceAccount PowerShell-cmdlet.
  3. Geef de gMSA de vereiste toegang tot de omgeving die wordt geëvalueerd volgens de vereiste documentatie voor het configureren van de betreffende evaluatie.

Bepaling KDS-hoofdsleutel

De KDS-hoofdsleutel moet eerst worden gemaakt als deze in de Active Directory-forest nog nooit is gemaakt.  Om te bepalen of er een bestaande KDS-hoofdsleutel is, voer je de volgende opdracht uit binnen een PowerShell-sessie.

Get-KdsRootKey

Opmerking

Als deze opdracht geen resultaat oplevert, bestaat er geen hoofdsleutel in de Active Directory-forest.

Om de KDS-hoofdsleutel te maken voer je de volgende opdracht uit binnen een PowerShell-sessie van een domeincontroller of een domeinlid met de Windows PowerShell Active Directory-module die is geïnstalleerd met behulp van een account met de nodige machtigingen om accounts in Active Directory te maken (Enterprise-beheerders en domeinbeheerders in het hoofddomein van de forest beschikken standaard over de noodzakelijke machtigingen).

Add-KdsRootKey -EffectiveImmediately

Met Add-KdsRootKey -EffectiveImmediately kunnen na 10 uur gMSA's worden gemaakt om ervoor te zorgen dat de replicatie naar alle DC's is geconvergeerd.

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Met Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) kunnen gMSA's onmiddellijk gemaakt worden.

Deze aanpak brengt wel een aantal risico's met zich mee van mislukte vorming of gebruik van een gMSA als het onder normale omstandigheden enkele uren duurt voordat de AD-replicatie in de hele forest kan worden toegepast.

Een beheerde groepserviceaccount maken

Om de gMSA te maken voer je de volgende opdracht uit binnen een PowerShell-sessie van een domeincontroller of een domeinlid met de Windows PowerShell Active Directory-module die is geïnstalleerd met behulp van een account met de nodige machtigingen om accounts in Active Directory te maken (accountoperators of domeinbeheerders beschikken standaard over de noodzakelijke machtigingen).

New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”

Bijvoorbeeld: PS C:> New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"

gMSA op het Apparaat voor Gegevensverzameling installeren

Het van tevoren opslaan in cache van de gMSA op het apparaat voor gegevensverzameling is een belangrijke stap in het validatieproces. Door middel van deze stap wordt ervoor gezorgd dat de account correct wordt ingericht en dat het apparaat voor gegevensverzameling het gMSA-wachtwoord kan ophalen en de account kan gebruiken. Vanaf het apparaat voor gegevensverzameling waarop Active Directory Powershell-module staat geïnstalleerd, voer je het volgende uit.

Install-ADServiceAccount -Identity “gMSA samaccountname”

Bijvoorbeeld: Install-ADServiceAccount -Identity "gMSA-SVC$"

Opmerking

Als de cmdlet niet gevonden fout wordt weergegeven, installeer je de Active Directory Powershell-module zoals wordt uitgelegd in Bepaling Beheerde Serviceaccounts bovenaan.

Raadpleeg voor andere fouten het kanaal Microsoft-Windows-Security-Netlogon/Operationeel event log voor gebeurtenissen van MSA-categorieën.