Zum Inhalt springen
IT-Service Walter - ISW ADTools

Der Windows Papst – IT Blog Walter

Anleitungen & Infos rund um die IT

Blog Suche

  • Der Windows Papst
  • Wer bin ich
    • Unterstützung per PayPal
    • Mein Hobby
  • Admin und Compliance Software
  • Impressum
    • Disclaimer
  • Datenschutz
  • Cookie-Richtlinie

Du bist hier:

  • Startseite
  • 2021
  • Juli
  • 15
  • CAWE gMSA Account
Zertifizierungsstellen Webregistrierung mit einem Group Managed Service Account

CAWE gMSA Account

15. Juli 2021 Jörn Walter Zertifikate

Zertifizierungsstellen-Webregistrierung mit einem Group Managed Service Account

Wer die Webregistrierung sprich den AppPool mit einem delegierten Account betreiben möchte, der geht wie folgt vor. Der gMSA-Account wird zusätzlich für die “Eingeschränkte Delegierung” konfiguriert.

CAWE gMSA Account

Das Vorhaben setzten wir komplett mit der Powershell um. Von der Einrichtung des Group Managed Service Accounts bis hin zur Konfiguration des AppPools.

CAWE gMSA Account

Create gMSA & Configuration

# Domain Controller
New-ADServiceAccount -Name gMSA-SubCA -PrincipalsAllowedToRetrieveManagedPassword SRVSubCA$ -DNSHostName gMSA-SubCA.dwp.local
setspn -S HTTP/SRVSubCA.dwp.local DWP\gMSA-SubCA

$AllowedToDelegateTo = @(
“rpcss/SRVSubCA”,
“rpcss/SRVSubCA.dwp.local”,
“HOST/SRVSubCA”,
“HOST/SRVSubCA.dwp.local”
)

Get-ADServiceAccount -Identity gMSA-SubCA -Properties *

Get-ADServiceAccount -Identity gMSA-SubCA | Set-ADObject -Add @{“msDS-AllowedToDelegateTo”=$AllowedToDelegateTo}
Get-ADServiceAccount -Identity gMSA-SubCA | Set-ADAccountControl -TrustedToAuthForDelegation $True

Der gMSA Account wurde mit seinen Eigenschaften angelegt.

gMSA Account CAWE AppPool

Nun folgt die Installation des gMSA-Accounts auf der CA sowie die Konfiguration des IIS AppPools.

Install local Group Set Identity

# SRVSubCA
Add-WindowsFeature RSAT-AD-PowerShell
Install-ADServiceAccount gMSA-SubCA
Test-ADServiceAccount gMSA-SubCA

Add-LocalGroupMember -Group IIS_IUSRS -Member DWP\gMSA-SubCA$

Import-Module WebAdministration
Set-ItemProperty IIS:\AppPools\DefaultAppPool -name processModel -value @{userName=”gMSA-SubCA$”;password=””;identitytype=3}
IISReset

Install Group Managed Service Account for CAWE

Zum Abschluss prüfen wir noch, ob der spezifische Benutzer einem AppPool zugewiesen wurde.

Check Specific User

$appPools = Get-WebConfiguration -Filter ‘/system.applicationHost/applicationPools/add’

foreach($appPool in $appPools)
{
if($appPool.ProcessModel.identityType -eq “SpecificUser”)
{
Write-Host $appPool.Name -ForegroundColor Green -NoNewline
Write-Host ” -“$appPool.ProcessModel.UserName”=”$appPool.ProcessModel.identityType
}
}

Check Specific User

AccountAnwendungspoolAppPoolCAWECertificate Authority Web EnrollmentgmsaGroup Managed Service AccountIdentitätIdentityWebregistrierungZertifizierungsstelleZertifizierungsstellen-Webregistrierung

Kategorien

  • ADMX Vorlagen & Tools (3)
  • Allgemein (733)
  • Gruppenrichtlinien (49)
  • Internet (60)
  • Netzwerk (120)
  • Office & Exchange (260)
  • Security (289)
  • Skripte (546)
  • Windows 10 (221)
  • Windows 11 (41)
  • Windows 7 (76)
  • Windows 8 (68)
  • Windows Server 2008 (8)
  • Windows Server 2012 (91)
  • Windows Server 2016 (82)
  • Windows Server 2019 (107)
  • Windows Server 2022 (19)
  • Windows Server 2025 (29)
  • Zertifikate (114)

Archiv

Blogverzeichnisse

TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

Auszeichnung

DIIND_SIEGEL_Business_Innovator_IT-Service-Walter

Aktuelle Themen

  • Digitale Pforte: Effiziente Lösungen für moderne Logistik- und Industrieprozesse
    7. Juli 2026
  • PDF übersetzen: So gelingt es schnell und unkompliziert
    4. Juli 2026
  • Grundschutz++ ist da – und damit der neue „Stand der Technik“
    30. Juni 2026
  • NIST 800-53 im DACH-Raum – und die OSCAL-Brücke zu Grundschutz++
    30. Juni 2026
  • Die Lifecycle-Falle 2026/2027
    30. Juni 2026
  • Wenn nicht Ihr Zertifikat schuld ist, sondern die Kette
    30. Juni 2026
  • Wie man gelöschte Dateien aus dem Papierkorb nach dem Leeren von Windows wiederherstellt
    30. Juni 2026
  • Wie optimiert Licht das Homeoffice-Erlebnis?
    29. Juni 2026
  • Wo liegen eigentlich Ihre privaten Schlüssel? Warum kein Unternehmen seinen Zertifikatsbestand wirklich kennt
    25. Juni 2026
  • IT-Automatisierung in Windows-Umgebungen – Routineaufgaben effizient delegieren
    24. Juni 2026
Copyright Jörn Walter 2025