Zum Inhalt springen
Der Windows Papst – IT Blog Walter

Der Windows Papst – IT Blog Walter

Anleitungen & Lösungen rund um die IT

Blog Suche

  • Der Windows Papst
  • Wer bin ich
    • Mein Hobby
    • Unterstützung per PayPal
    • Security Access
  • Kontaktformular
  • Impressum
  • Datenschutz

Du bist hier:

  • Startseite
  • 2021
  • Juli
  • 15
  • CAWE gMSA Account
Zertifizierungsstellen-Webregistrierung mit einem Group Managed Service Account

CAWE gMSA Account

15. Juli 2021 Jörn Walter Zertifikate

Zertifizierungsstellen-Webregistrierung mit einem Group Managed Service Account

Wer die Webregistrierung sprich den AppPool mit einem delegierten Account betreiben möchte, der geht wie folgt vor. Der gMSA-Account wird zusätzlich für die “Eingeschränkte Delegierung” konfiguriert.

CAWE gMSA Account

Das Vorhaben setzten wir komplett mit der Powershell um. Von der Einrichtung des Group Managed Service Accounts bis hin zur Konfiguration des AppPools.

CAWE gMSA Account

Create gMSA & Configuration

# Domain Controller
New-ADServiceAccount -Name gMSA-SubCA -PrincipalsAllowedToRetrieveManagedPassword SRVSubCA$ -DNSHostName gMSA-SubCA.dwp.local
setspn -S HTTP/SRVSubCA.dwp.local DWP\gMSA-SubCA

$AllowedToDelegateTo = @(
“rpcss/SRVSubCA”,
“rpcss/SRVSubCA.dwp.local”,
“HOST/SRVSubCA”,
“HOST/SRVSubCA.dwp.local”
)

Get-ADServiceAccount -Identity gMSA-SubCA -Properties *

Get-ADServiceAccount -Identity gMSA-SubCA | Set-ADObject -Add @{“msDS-AllowedToDelegateTo”=$AllowedToDelegateTo}
Get-ADServiceAccount -Identity gMSA-SubCA | Set-ADAccountControl -TrustedToAuthForDelegation $True

Der gMSA Account wurde mit seinen Eigenschaften angelegt.

gMSA Account CAWE AppPool

Nun folgt die Installation des gMSA-Accounts auf der CA sowie die Konfiguration des IIS AppPools.

Install local Group Set Identity

# SRVSubCA
Add-WindowsFeature RSAT-AD-PowerShell
Install-ADServiceAccount gMSA-SubCA
Test-ADServiceAccount gMSA-SubCA

Add-LocalGroupMember -Group IIS_IUSRS -Member DWP\gMSA-SubCA$

Import-Module WebAdministration
Set-ItemProperty IIS:\AppPools\DefaultAppPool -name processModel -value @{userName=”gMSA-SubCA$”;password=””;identitytype=3}
IISReset

Install Group Managed Service Account for CAWE

Zum Abschluss prüfen wir noch, ob der spezifische Benutzer einem AppPool zugewiesen wurde.

Check Specific User

$appPools = Get-WebConfiguration -Filter ‘/system.applicationHost/applicationPools/add’

foreach($appPool in $appPools)
{
if($appPool.ProcessModel.identityType -eq “SpecificUser”)
{
Write-Host $appPool.Name -ForegroundColor Green -NoNewline
Write-Host ” -“$appPool.ProcessModel.UserName”=”$appPool.ProcessModel.identityType
}
}

Check Specific User

AccountAnwendungspoolAppPoolCAWECertificate Authority Web EnrollmentgmsaGroup Managed Service AccountIdentitätIdentityWebregistrierungZertifizierungsstelleZertifizierungsstellen-Webregistrierung

Kategorien

  • ADMX Vorlagen & Tools (2)
  • Allgemein (508)
  • Gruppenrichtlinien (44)
  • Internet (60)
  • Netzwerk (103)
  • Office & Exchange (219)
  • Security (216)
  • Skripte (517)
  • Windows 10 (218)
  • Windows 11 (14)
  • Windows 7 (76)
  • Windows 8 (68)
  • Windows Server 2008 (8)
  • Windows Server 2012 (91)
  • Windows Server 2016 (82)
  • Windows Server 2019 (106)
  • Windows Server 2022 (10)
  • Zertifikate (97)

Archive

Blogverzeichnisse

Blogtotal TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

Wichtige News

Aktuelle Themen

  • Acrobat Reader Updates per GPO deaktivieren
    23. September 2023
  • SMB-Client Block NTLM
    21. September 2023
  • Recovery Point Objective (RPO): Eine einfache Erklärung
    19. September 2023
  • Exchange Online PowerShell v3.3
    18. September 2023
  • Sizing Exchange Pagefile
    16. September 2023
  • Exchange Client- und Serverkommunikation verschlüsseln
    16. September 2023
  • Windows Explorer Fix für Windows 10 und Windows 11
    11. September 2023
  • Bilder schärfen und hochskalieren mit HitPaw Photo Enhancer
    28. August 2023
  • Windows 11 missing wfs.exe
    27. August 2023
  • IIS 7 IIS 7.5 IIS 8 IIS 8.5 IIS 10 HSTS Header
    26. August 2023
  • IIS Enable HSTS Header per GPO
    24. August 2023
  • Clean up Exchange Folder
    22. August 2023
Privatsphäre-Einstellungen ändern
Copyright Jörn Walter 2022