Server 2012 – Group Managed Service Account erstellen
#Abfragen ob bereits ein Root Key besteht
Get-KdsRootKey
# Root Key erstellen
Add-KdsRootKey -EffectiveImmediately
# Replikationszeit von 10 Stunden verkürzen aber nur in Testumgebung
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
# Neue AD Gruppe erstellen namens MSA
New-ADGroup -Name MSA `
-GroupScope DomainLocal `
-Description “Gruppe fuer MSA” `
-GroupCategory Security `
-SAMAccountName MSA `
-PassThru
# Maschinen hinzuefuegen $ steht fuer Computerkonten
Add-ADGroupMember -Identity MSA `
-Members “winserver$” `
-PassThru
# Kontrolle
Get-AdGroupMember -Identity MSA
# Neuen Service Account erstellen
New-ADServiceAccount -name SVCMSA1 `
-DNSHostname SVCMSA1.ndsedv.de `
-ManagedPasswordIntervalInDays 42 `
-PassThru
# Den Service Account bearbeiten
Set-ADServiceAccount -Identity SVCMSA1 `
-PrincipalsAllowedToRetrieveManagedPassword MSA `
-PrincipalsAllowedToDelegateToAccount MSA `
-PassThru
# Server neu starten bevor die Gruppe den Servern hinzugefuegt werden kann
Invoke-Command -ComputerName winserver -ScriptBlock {Restart-Computer -Force}
Invoke-Command -ComputerName winserver -ScriptBlock {Install-ADServiceAccount -Identity SVCMSA1}
# Kontrolle
Invoke-Command -ComputerName winserver -ScriptBlock {Test-ADServiceAccount -Identity SVCMSA1}
# Passwort eines Dienstkonto zuruecksetzen
Reset-ADServiceAccountPassword winserver
