Zum Inhalt springen
Der Windows Papst – IT Blog Walter

Der Windows Papst – IT Blog Walter

Anleitungen & Lösungen rund um die IT

Blog Suche

  • Der Windows Papst
  • Wer bin ich
    • Mein Hobby
    • Unterstützung per PayPal
    • Security Access
  • Kontaktformular
  • Impressum
  • Datenschutz

Du bist hier:

  • Startseite
  • 2021
  • Juli
  • 15
  • CAWE gMSA Account
Zertifizierungsstellen-Webregistrierung mit einem Group Managed Service Account

CAWE gMSA Account

15. Juli 2021 Jörn Walter Zertifikate

Zertifizierungsstellen-Webregistrierung mit einem Group Managed Service Account

Wer die Webregistrierung sprich den AppPool mit einem delegierten Account betreiben möchte, der geht wie folgt vor. Der gMSA-Account wird zusätzlich für die “Eingeschränkte Delegierung” konfiguriert.

CAWE gMSA Account

Das Vorhaben setzten wir komplett mit der Powershell um. Von der Einrichtung des Group Managed Service Accounts bis hin zur Konfiguration des AppPools.

CAWE gMSA Account

Create gMSA & Configuration

# Domain Controller
New-ADServiceAccount -Name gMSA-SubCA -PrincipalsAllowedToRetrieveManagedPassword SRVSubCA$ -DNSHostName gMSA-SubCA.dwp.local
setspn -S HTTP/SRVSubCA.dwp.local DWP\gMSA-SubCA

$AllowedToDelegateTo = @(
“rpcss/SRVSubCA”,
“rpcss/SRVSubCA.dwp.local”,
“HOST/SRVSubCA”,
“HOST/SRVSubCA.dwp.local”
)

Get-ADServiceAccount -Identity gMSA-SubCA -Properties *

Get-ADServiceAccount -Identity gMSA-SubCA | Set-ADObject -Add @{“msDS-AllowedToDelegateTo”=$AllowedToDelegateTo}
Get-ADServiceAccount -Identity gMSA-SubCA | Set-ADAccountControl -TrustedToAuthForDelegation $True

Der gMSA Account wurde mit seinen Eigenschaften angelegt.

gMSA Account CAWE AppPool

Nun folgt die Installation des gMSA-Accounts auf der CA sowie die Konfiguration des IIS AppPools.

Install local Group Set Identity

# SRVSubCA
Add-WindowsFeature RSAT-AD-PowerShell
Install-ADServiceAccount gMSA-SubCA
Test-ADServiceAccount gMSA-SubCA

Add-LocalGroupMember -Group IIS_IUSRS -Member DWP\gMSA-SubCA$

Import-Module WebAdministration
Set-ItemProperty IIS:\AppPools\DefaultAppPool -name processModel -value @{userName=”gMSA-SubCA$”;password=””;identitytype=3}
IISReset

Install Group Managed Service Account for CAWE

Zum Abschluss prüfen wir noch, ob der spezifische Benutzer einem AppPool zugewiesen wurde.

Check Specific User

$appPools = Get-WebConfiguration -Filter ‘/system.applicationHost/applicationPools/add’

foreach($appPool in $appPools)
{
if($appPool.ProcessModel.identityType -eq “SpecificUser”)
{
Write-Host $appPool.Name -ForegroundColor Green -NoNewline
Write-Host ” -“$appPool.ProcessModel.UserName”=”$appPool.ProcessModel.identityType
}
}

Check Specific User

AccountAnwendungspoolAppPoolCAWECertificate Authority Web EnrollmentgmsaGroup Managed Service AccountIdentitätIdentityWebregistrierungZertifizierungsstelleZertifizierungsstellen-Webregistrierung

Kategorien

  • ADMX Vorlagen & Tools (2)
  • Allgemein (492)
  • Gruppenrichtlinien (43)
  • Internet (58)
  • Netzwerk (103)
  • Office & Exchange (211)
  • Security (216)
  • Skripte (514)
  • Windows 10 (218)
  • Windows 11 (12)
  • Windows 7 (76)
  • Windows 8 (68)
  • Windows Server 2008 (8)
  • Windows Server 2012 (91)
  • Windows Server 2016 (82)
  • Windows Server 2019 (105)
  • Windows Server 2022 (8)
  • Zertifikate (97)

Archive

Blogverzeichnisse

Blogtotal Bloggerei.de TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

Wichtige News

DCOM Härtung 14. März 2023

Exchange Server Sicherheitsupdates Re-Release Februar 2023

Windows DCOM-Server Authentifizierung

Aktuelle Themen

  • Ashampoo Privacy Inspector
    30. März 2023
  • Exchange Server Sicherheitsupdates Re-Release Februar 2023
    15. März 2023
  • Exchange Server DKIM Signer
    14. März 2023
  • Digitalisierung im Mitarbeiter-Management – die Vorteile für Unternehmen
    14. März 2023
  • Windows – Reboot Required Neustart ausstehend
    12. März 2023
  • AOMEI Welt Backup Tag 31.3.2023
    11. März 2023
  • Free Programming Books
    7. März 2023
  • Maßnahmenkatalog Ransomware BSI
    7. März 2023
  • Bestes kostenloses VPN von 2022
    7. März 2023
  • Härtung von Endpunkten
    6. März 2023
  • Super Bowl: Ein globaler Anlass mit bahnbrechender Werbung
    6. März 2023
  • Ports Active Directory und Active Directory-Domänendienste
    5. März 2023
Privatsphäre-Einstellungen ändern
Copyright Jörn Walter 2022