Group Managed Service Accounts

W poprzednim poście opisywałem metodę wykorzystywania zarządzanych kont serwisowych. Jak sama nazwa wskazuje jest to świetne rozwiązanie dla usług, które wymagają do pracy konta usługi Active Directory. Niestety konta te posiadają kilka obostrzeń jak chociażby praca tylko w ramach usług systemowych czy powiązanie konta serwisowego tylko i wyłącznie z jedną maszyną.

Problemy te zostały rozwiązane z nadejściem kolejnej wersji systemu, a mianowicie Windows Server 2012. Jedną z nowych funkcjonalności jakie zaimplementowano w omawianej wersji to grupowe zarządzane konta serwisowe (Group Managed Service Accounts). Pozwalają one nie tylko na powiązanie konta z wieloma hostami docelowymi, ale również na wykorzystywanie ich w ramach innych rozwiązań jak np. Harmonogram Zadań, konta serwisowe SQL Server, czy Pul Aplikacji usługi IIS.

W celu skorzystania z niniejszego rozwiązania, konieczne jest posiadanie w swojej infrastrukturze przynajmniej jednego kontrolera domeny opartego o system Windows Server 2012. Dodatkowo konieczne jest posiadanie najnowszej wersji modułu ActiveDirectory narzędzia Windows PowerShell, który to właśnie zawarty jest w/w wersji systemu.

Podstawowym elementem, od którego musimy zacząć to dodanie klucza KDS dla usługi Active Directory. Do tego celu wykorzystujemy moduł Windows PowerShell – KDS.

Add-KDSRootKey –EffectiveImmediately

Proces ten wymaga odczekania kilku godzin (do 10h) w celu dokonania replikacji niezbędnych informacji pomiędzy wszystkim kontrolerami domeny.

Gdy proces ten zostanie zakończony, możemy przejść do dalszej części konfiguracji. Zaczynamy od utworzenia grupy zabezpieczeń. W ramach niej definiujemy listę hostów, które będą mogły wykorzystywać grupowe zarządzane konto serwisowe.

New-ADGroup -Name GMSAHosts -GroupScope Global
Get-ADComputer W81 | Add-ADPrincipalGroupMembership -MemberOf "CN=GMSAHosts,CN=Users,DC=contoso,DC=com"

Ostatecznie tworzymy grupowe zarządzane konto serwisowe i przypisujemy je do w/w grupy zabezpieczeń.

New-ADServiceAccount -Name GMSAAccount -DNSHostName GMSAAccount.contoso.com -PrincipalsAllowedToRetrieveManagedPassword GMSAHosts -Enabled $true

Następnie przechodzimy do docelowych hostów i instalujemy w/w konto usług. W tym celu, tak jak dla zwykłych zarządzanych kont serwisowych, wymagane jest posiadanie pakietu RSAT, a konkretnie moduł ActiveDirectory dla konsoli Windows PowerShell.

Install-AdServiceAccount GMSAAccount

Po instalacji wystarczy zweryfikować powyższy proces poleceniem

Test-AdServiceAccount GMSAAccount

… które to powinno zwrócić wynik pozytywny – True.

Tak zainstalowane konto może być z powodzeniem wykorzystane np. do uruchamiania zadań w harmonogramie systemu Windows. Na przykład:

$ScheduledTaskAction = New-ScheduledTaskAction -Execute PowerShell.exe -Argument "-File c:\test.ps1"
$ScheduledTaskTrigger = New-ScheduledTaskTrigger -At 12:00 -Daily
$ScheduledTaskPrincipal = New-ScheduledTaskPrincipal -UserID Contoso\GMSAAccount$ -LogonType Password
Register-ScheduledTask TestScheduledTask –Action $ScheduledTaskAction –Trigger $ScheduledTaskTrigger –Principal $ScheduledTaskPrincipal

Źródła:
http://technet.microsoft.com/en-us/library/hh831782.aspx

Reklamy

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s