MSA gMSA Account
Der Unterschied zwischen diesen beiden Accounts besteht in der Nutzbarkeit.
Ein MSA Account kann nur einem Server zugewiesen werden, wobei der gMSA Account mehreren Servern (auch Cluster-Service) zugewiesen werden kann.
Ein Managed Service Account benötigt beim Anlegen den Schalter “RestrictToSingleComputer” :
New-ADServiceAccount -Name “MSA” -RestrictToSingleComputer
Ein Group Managed Service Account benötigt eine Sicherheitsgruppe “SecGrMSA”, in der die Computer Mitglied werden, auf denen der gMSA Account eingesetzt werden soll:
New-ADServiceAccount -Name MSA-Skript -Enabled $true `
-DNSHostName MSA-Skript.ndsedv.de `
-PrincipalsAllowedToRetrieveManagedPassword “SecGrMSA”
Wichtige Optionen:
DNS Hostname = Name des Servers
ServicePrincipalNames = MSSQLSvc/SRV01.dbi-test:1433
Des Weiteren verfügt der gMSA Account über erweiterte Attribute:
ADServiceAccount installieren:
Install–ADServiceAccount -Identity
ADServiceAccount de-installieren:
UnInstall–ADServiceAccount -Identity
ADServiceAccount Passwort erneuern:
Reset-ADServiceAccountPassword -Identity
ADServiceAccount aus dem AD entfernen:
Remove–ADServiceAccount -Identity
