Cum găsiți conturi de servicii utilizate în Active Directory

Configurare noua (How To)

Situatie

Managed Service Account (MSA) este un tip special de cont de administrare a domeniului în Active Directory care este utilizat pentru a rula sarcini privilegiate specifice, servicii și lucrări în fundal. Principalele beneficii ale conturilor MSA sunt gestionarea automată a parolelor, gestionarea SPN(Service Principal Name) și capacitatea de a delega gestionarea altor administratori.

Există o serie de tipuri diferite de conturi de servicii disponibile în Active Directory, în funcție de versiunea schemei AD:

  • Service Managed Account(MSA) – este un cont de serviciu de sine stătător care poate fi utilizat numai pe un singur server. Conturile MSA au o clasă de obiect msDS-ManagedServiceAccount și sunt disponibile începând cu nivelul funcțional al domeniului Windows Server 2008 R2.
  • Group Management Service Accounts(gMSA). Aceste conturi pot fi utilizate pe mai multe servere simultan și sunt concepute pentru medii grupate. Clasa lor de obiect este msDS-GroupManagedServiceAccount(disponibilă în Windows Server 2012+).
  • Delegated Managed Service Account(dMSA) este o nouă clasă de conturi de servicii introdusă în Windows Server 2025. Aceste conturi sporesc securitatea prin valorificarea identității mașinii și utilizarea Credential Guard (Credential Guard este o caracteristică de securitate din Windows Server care utilizează securitatea bazată pe virtualizare (VBS) pentru a proteja credentialele utilizatorilor de furt, în special de atacuri precum pass-the-hash și pass-the-ticket).

Backup

Management Service Accounts sunt gestionate numai prin PowerShell. În mod implicit, aceste conturi sunt create în containerul CN=Managed Service Accounts din rădăcina domeniului. Microsoft recomandă utilizarea unității organizaționale pentru a stoca toate conturile MSA. Puteți găsi toate aceste conturi utilizând snap-in-ul grafic Active Directory Users and Computers (dsa.msc).

Atunci când utilizați cmdlet-ul PowerShell New-ADServiceAccount pentru a crea un nou cont MSA/GMSA, contul este creat în acest OU(OrganizationUnit);(sunt necesare permisiuni Domain Admins).

Se poate crea un cont MSA în orice OU(OrganizationUnit) prin specificarea distinguishedName în parametrul Path. Acest lucru necesită doar permisiunile Account Operators pe OU țintă. De exemplu din modulul Active Directory Powershell:

New-ADServiceAccount -Name gMSA-svcNew -Path “OU=Service,OU=Automatizare,DC=startechteam,DC=ro” -DNSHostName gMSA-svcNew.startechteam.ro

Utilizați următorul cmdlet din modulul Active Directory PowerShell pentru a lista toate conturile MSA, gMSA și dMSA dintr-un domeniu:

Get-ADServiceAccount -Filter *| ft

Solutie

Tip solutie

Permanent

Voteaza

Up Down
(7 din 11 persoane apreciaza acest articol)
Share
Tweet
Share

Despre Autor

Leave A Comment?