Unterschied Managed Service Account & Group Managed Service Account
MSA gMSA Account
Der Unterschied zwischen diesen beiden Accounts besteht in der Nutzbarkeit.
Ein MSA Account kann nur einem Server zugewiesen werden, wobei der gMSA Account mehreren Servern (auch Cluster-Service) zugewiesen werden kann.
Ein Managed Service Account benötigt beim Anlegen den Schalter “RestrictToSingleComputer” :
New-ADServiceAccount -Name “MSA” -RestrictToSingleComputer
Ein Group Managed Service Account benötigt eine Sicherheitsgruppe “SecGrMSA”, in der die Computer Mitglied werden, auf denen der gMSA Account eingesetzt werden soll:
New-ADServiceAccount -Name MSA-Skript -Enabled $true `
-DNSHostName ndsedv.de `
-PrincipalsAllowedToRetrieveManagedPassword “SecGrMSA”
Wichtige Optionen:
DNS Hostname = Name des Servers
ServicePrincipalNames = MSSQLSvc/SRV01.dbi-test:1433
Des Weiteren verfügt der gMSA Account über erweiterte Attribute:
ADServiceAccount installieren:
Install–ADServiceAccount -Identity
ADServiceAccount de-installieren:
UnInstall–ADServiceAccount -Identity
ADServiceAccount Passwort erneuern:
Reset-ADServiceAccountPassword -Identity
ADServiceAccount aus dem AD entfernen:
Remove–ADServiceAccount -Identity
