gMSA Account per Remote erstellen und einrichten

Group Managed Service Account per Invoke-Command managen

Managed Service Account müssen selbstverständlicherweise nicht direkt auf einem Domänen-Controller erstellt und eingerichtet werden. In vielen Unternehmen gibt es dafür administrative Workstations oder Server.

gMSA Account per Remote erstellen und einrichten

Die Umsetzung erfolgt in diesem Fall von einer Windows 11 Workstation aus und ich verzichte auf die Erstellung einer Security Group. Der Vorteil liegt darin, dass das Zielsystem so nicht neugestartet werden muss. Also das System, welches mit dem gMSA Account ausgestattet werden soll.

# Auf der Admin-Workstation die RSAT Tools installieren falls nicht vorhanden
Add-WindowsCapability -online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
Add-WindowsFeature RSAT-AD-PowerShell # Windows Server

# Root-Key über die Admin Workstation erstellen falls nicht vorhanden
Invoke-Command -ComputerName DC1 -ScriptBlock {Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))}

# Root-Key über einen entfernten DC erstellen falls nicht vorhanden
Invoke-Command -ComputerName DC1 -ScriptBlock {Add-KdsRootKey -EffectiveImmediately}

# Root Key prüfen
Get-KdsRootKey

# gMSA Account über die Admin Workstation erstellen und Details abfragen
New-ADServiceAccount -Name gMSA1$ -DNSHostname gMSA.windowspapst.de -PassThru
Get-ADServiceAccount -Identity gMSA1$ -Properties *

# gMSA Account über den entfernten DC erstellen und Details abfragen
Invoke-Command -ComputerName DC1 -ScriptBlock {New-ADServiceAccount -Name gMSA1$ -DNSHostname gMSA.windowspapst.de -PassThru
Get-ADServiceAccount -Identity gMSA1$ -Properties *}

# gMSA Account härten (Encryption Type) und Zielsystem zuweisen
Set-ADServiceAccount -Identity gMSA1 -KerberosEncryptionType “AES128, AES256” -PrincipalsAllowedToRetrieveManagedPassword “DC1$”,”DC2$” -PassThru

# Abfragen welches Zielsystem das Password abfragen darf (DC1, DC2)
Get-ADServiceAccount -Identity gMSA1 -Properties PrincipalsAllowedToRetrieveManagedPassword

Und so entfernt man einen gMSA Account ohne Sicherheitsgruppe

Uninstall Group Managed Service Account