Create gMSA Accounts
#Abfragen ob bereits ein Root Key besteht
Get-KdsRootKey
# Root Key erstellen
Add-KdsRootKey -EffectiveImmediately
# Replikationszeit von 10 Stunden verkürzen aber nur in Testumgebung
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
# Neue AD Gruppe erstellen namens MSA
New-ADGroup -Name MSA `
-GroupScope DomainLocal `
-Description “Gruppe fuer MSA” `
-GroupCategory Security `
-SAMAccountName MSA `
-PassThru
# Maschine der neuen Gruppe MSA hinzufügen
Add-ADGroupMember -Identity MSA `
-Members “winserver$” `
-PassThru
# Kontrolle
Get-AdGroupMember -Identity MSA
# Neuen Service Account erstellen
New-ADServiceAccount -name SVCMSA1 `
-DNSHostname SVCMSA1.ndsedv.de `
-ManagedPasswordIntervalInDays 42 `
-Description ‘Group Managed Service Account’ `
-PassThru
# Wer darf das Kennwort des SVCMSA1 Accounts abfragen bzw. einsetzen? Korrekt, die Mitglieder der Gruppe MSA
Set-ADServiceAccount -Identity SVCMSA1 `
-PrincipalsAllowedToRetrieveManagedPassword MSA `
-PrincipalsAllowedToDelegateToAccount MSA `
-PassThru
# Server neu starten und danach den Account installieren
Invoke-Command -ComputerName winserver -ScriptBlock {Restart-Computer -Force}
Invoke-Command -ComputerName winserver -ScriptBlock {Install-ADServiceAccount -Identity SVCMSA1}
# Prüfen ob der neue MSA Account auf dem Server installiert wurde
Invoke-Command -ComputerName winserver -ScriptBlock {Test-ADServiceAccount -Identity SVCMSA1}
# Passwort eines Dienstkonto zurücksetzen
Reset-ADServiceAccountPassword winserver