Erstellen eines verwalteten Dienstkontos per PowerShell

Das Verwaltete Dienstkonto ist ein neuer Kontotyp, der mit Windows 7 und Windows Server 2008 R2 eingeführt wurde, um die Isolation und die Verwaltung der Dienste für Netzwerkanwendungen wie Exchange und Internet Informationsdienste (IIS) zu verbessern.

Auf einem lokalen Computer kann eine Anwendung so konfiguriert werden, dass sie als lokaler Dienst, Netzwerkdienst oder lokales System ausgeführt wird. Diese sind zwar einfach zu konfigurieren, werden jedoch meist von mehreren Anwendungen gleichzeitig genutzt und können nicht auf Domänenebene verwaltet werden.

 

Nachteil herkömmlicher Dienstkontentypen:

  • Dienstkennwörter müssen von Administratoren verwaltet werden
  • Dienstprinzipalnamen (SPNs) müssen verwaltet werden
  • keine verwalteten Domänenkonten, d.h. Pflege umständlich

 

Vorteil von verwalteten Dienstkonten:

  • Sind verwaltete Domänenkonten
  • Automatische Kennwortänderung aller 30 Tage
  • Isolierung der eigenen Konten in wichtigen Anwendungen
  • keine manuelle Verwaltung von Dienstprinzipalnamen und Anmeldeinformationen
  • Delegierung an andere Administratoren möglich

 

Hinweis: Verwaltete Dienstkonten können nicht von mehreren Computern gemeinsam genutzt und in Serverclustern, in denen ein Dienst auf mehrere Clusterknoten repliziert wird, verwendet werden.

 

Voraussetzung:

  • .Net-Framework und PowerShell mit Active Directory Modul
    • auf dem Server über den Server-Manager Feature .NET-Framework 3.5.1 und Active Directory-PowerShell unter Remoteserver-Verwaltungstools-AD DS und AD LDS-Tools hinzufügen.

 

Hinweis: Der Domänenadministrator kann verwaltete Dienstkonten in AD DS erstellen, verwalten und ihre Verwaltung delegieren. Zudem können diese verwalteten Dienstkonten auch von jedem Benutzer mit Berechtigungen zum Erstellen/Löschen von msDS-ManagedServiceAccount verwaltet werden.

Der Dienstadministrator installiert und verwaltet diese Konten auf Computern unter Windows Server 2008 R2 oder Windows 7, wenn diese Computer für die Ausführung einer Anwendung oder eines Diensts verwendet werden. Benutzer dieser Rolle müssen Mitglied der lokalen Gruppe Administratoren auf dem Computer sein.

 

Vorgehensweise:

  • Erstellen eines verw. Kontos im AD
  • Zuweisen bzw. Installieren dieses Kontos auf dem lokalen Computer
  • Zuweisung zum Dienst

Erstellung eines verwalteten Dienstkontos:

  1. Auf dem DC: StartAusführen: dsa.msc starten oder einfach Verwaltungskonsole für Active Directory-Benutzer und -Computer öffnen
    Prüfen ob Container Verwaltetes Dienstkonto (Managed Service Accounts) existiert.
    Hier werden die verwalteten Dienstkonten abgelegt.
  2. Auf dem DC die Powershell (Acitve Directory-Modul für PowerShell) starten oder Powershell starten und folgenden Befehl ausführen:
    Import-Module ActiveDirectory 
  3. Neues verwaltetes Dienstkonto erstellen:
    New-ADServiceAccount –Name Dienstkontenname 
  4. Prüfen, ob Dienstkonto erstellt wurde:
    Ansicht im AD-Container aktualisieren, dann sollte dort das neue Konto erscheinen oder auch per PowerShell: Get-ADServiceAccount
    – Filter z.B. samaccountname –like „Diens*“
    zeigt alle verwalteten Konten, deren Name mit „Diens“ anfängt
  5. Get– / SetADServiceAccount rufen Eigenschaften ab, bzw. legen diese fest.
  6. Konto dem lokalen Computer / Server zuweisen bzw. dort installieren:
    Anmeldung am Server als Dienstadministrator oder lokaler Administrator
    Powershell (Acitve Directory-Modul für PowerShell) starten (siehe Voraussetzung)
    Befehl: Install-ADServiceAccount –Identity <AD-Dienstkonto>
  7. Prüfen ob alles geklappt hat!
    In folgender Abbildung wurden die verwalteten Konten mit Filter abgefragt und auch bereits den Diensten zugewiesen.
    D
    er grüne Bereich zeigt hier, dass dieses verwaltete Konto dem Server SQL1 zugewiesen ist.
    Diese Zuweisung haben wir mit Punkt 6 (InstallADServiceAccount) umgesetzt
    lokale Installation eines verwalteten Kontos!
    verwaltete Konten

Kennwort eines verwalteten Kontos zurücksetzen:
Befehl: Reset-ADServiceAccountPassword –Identity <Dienstkonto>

Entfernen eines verwalteten Kontos: 

  1. So deinstallieren Sie ein verw. Konto von einem lokalen Computer:
    Uninstall-ADServiceAccount –Identity <AD-Dienstkontoname>
  2. Aus dem AD entfernen Sie ein verwaltetes Konto über folgenden Befehl:
    Remove-ADServiceAccount –Identity <AD-Dienstkontoname>

2 Gedanken zu „Erstellen eines verwalteten Dienstkontos per PowerShell

  1. Unter Windows Server 2012 kann es beim Erstellen des Accounts per „New-ADServiceAccount“ zu folgendem Fehler kommen: „New-ADServiceAccount : Der Schlüssel ist nicht vorhanden“ . Hier muss ein neuer KDS Schlüssel generiert werden. Das geschieht mit dem Befehl „Add-KdsRootKey -EffectiveImmediately“ Wenn man die folgende 10 Stunden Replikationszeit umgehen will gibt man statt des Parameters „EffectiveImmediately“ den Parameter „-EffectiveTime ((get-date).addhours(-10)) mit. Das ist aber nur in Einzel DC Umgebungen zu Testzwecken empfohlen. Der Befehl verlangt Organisations Administator Rechte. Danach klappt auch das Erstellen des Service Accounts.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.