Zum Inhalt springen
Der Windows Papst – IT Blog Walter

Der Windows Papst – IT Blog Walter

Anleitungen & Lösungen rund um die IT

Blog Suche

  • Der Windows Papst
  • Wer bin ich
    • Mein Hobby
    • Unterstützung per PayPal
    • Security Access
  • Kontaktformular
  • Impressum
  • Datenschutz

Du bist hier:

  • Startseite
  • 2022
  • März
  • 10
  • gMSA Account per Remote erstellen und einrichten
gMSA Account per Remote erstellen und einrichten

gMSA Account per Remote erstellen und einrichten

10. März 2022 Jörn Walter Windows Server 2022

Group Managed Service Account per Invoke-Command managen

Managed Service Account müssen selbstverständlicherweise nicht direkt auf einem Domänen-Controller erstellt und eingerichtet werden. In vielen Unternehmen gibt es dafür administrative Workstations oder Server.

gMSA Account per Remote erstellen und einrichten

Die Umsetzung erfolgt in diesem Fall von einer Windows 11 Workstation aus und ich verzichte auf die Erstellung einer Security Group. Der Vorteil liegt darin, dass das Zielsystem so nicht neugestartet werden muss. Also das System, welches mit dem gMSA Account ausgestattet werden soll.

# Auf der Admin-Workstation die RSAT Tools installieren falls nicht vorhanden
Add-WindowsCapability -online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
Add-WindowsFeature RSAT-AD-PowerShell # Windows Server

gMSA Account per Remote erstellen und einrichten

# Root-Key über die Admin Workstation erstellen falls nicht vorhanden
Invoke-Command -ComputerName DC1 -ScriptBlock {Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))}

# Root-Key über einen entfernten DC erstellen falls nicht vorhanden
Invoke-Command -ComputerName DC1 -ScriptBlock {Add-KdsRootKey -EffectiveImmediately}

gMSA RootKey erzeugen

# Root Key prüfen
Get-KdsRootKey

KDS Root Key

# gMSA Account über die Admin Workstation erstellen und Details abfragen
New-ADServiceAccount -Name gMSA1$ -DNSHostname gMSA.windowspapst.de -PassThru
Get-ADServiceAccount -Identity gMSA1$ -Properties *

# gMSA Account über den entfernten DC erstellen und Details abfragen
Invoke-Command -ComputerName DC1 -ScriptBlock {New-ADServiceAccount -Name gMSA1$ -DNSHostname gMSA.windowspapst.de -PassThru
Get-ADServiceAccount -Identity gMSA1$ -Properties *}

gMSA Account erstellen und prüfen

# gMSA Account härten (Encryption Type) und Zielsystem zuweisen
Set-ADServiceAccount -Identity gMSA1 -KerberosEncryptionType “AES128, AES256” -PrincipalsAllowedToRetrieveManagedPassword “DC1$”,”DC2$” -PassThru

gMSA Kerberos Encryption Type

# Abfragen welches Zielsystem das Password abfragen darf (DC1, DC2)
Get-ADServiceAccount -Identity gMSA1 -Properties PrincipalsAllowedToRetrieveManagedPassword

PrincipalsAllowedToRetrieveManagedPassword

Und so entfernt man einen gMSA Account ohne Sicherheitsgruppe

Uninstall Group Managed Service Account

AccountADServiceAccountgmsaInstallinvoke-commandKontoPrincipalsAllowedToRetrieveManagedPasswordRemote

2 Kommentare

  1. Pingback: Uninstall Group Managed Service Account - Der Windows Papst - IT Blog Walter
  2. Pingback: Unterschied Managed Service Account & Group Managed Service Account - Der Windows Papst - IT Blog Walter

Kommentare sind geschlossen.

Kategorien

  • ADMX Vorlagen & Tools (2)
  • Allgemein (485)
  • Gruppenrichtlinien (43)
  • Internet (58)
  • Netzwerk (103)
  • Office & Exchange (209)
  • Security (216)
  • Skripte (514)
  • Windows 10 (218)
  • Windows 11 (12)
  • Windows 7 (76)
  • Windows 8 (68)
  • Windows Server 2008 (8)
  • Windows Server 2012 (91)
  • Windows Server 2016 (82)
  • Windows Server 2019 (105)
  • Windows Server 2022 (8)
  • Zertifikate (97)

Archive

Blogverzeichnisse

Blogtotal Bloggerei.de TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

Wichtige News

Siehe Nachtrag vom 26.11.2022:

Fix für Kerberos Authentifizierungsprobleme – Kerberos Key Distribution Center Error Event ID 14

Siehe Nachtrag vom 24.12.2022:

Exchange 2013 2016 2019 Security Update November 2022

Aktuelle Themen

  • LDAP Sicherheitsanfälligkeit Januar 2023
    18. Januar 2023
  • Wie kann man Fotos von SD-Karte mit Tenorshare 4DDiG wiederherstellen?
    17. Januar 2023
  • Exchange 2013 2016 2019 Security Update Januar 2023
    12. Januar 2023
  • Teams Chats löschen
    8. Januar 2023
  • 5 FREE-Programme von Ashampoo die auf jeden Windows-Rechner gehören
    5. Januar 2023
  • Remote Powershell Module Offline Install
    30. Dezember 2022
  • Exchange Online PowerShell v3
    29. Dezember 2022
  • Malware auf dem Android: Alles was man darüber wissen sollte
    19. Dezember 2022
  • NuGet Provider offline installieren
    19. Dezember 2022
  • Steganos Privacy Suite 22 Verlosung
    19. Dezember 2022
  • WebSite X5 Pro und EVO – Webseite Onlineshops und Blogs – Verlosung
    12. Dezember 2022
  • Große Verlosung Ascomp Software 60 Lizenzen
    9. Dezember 2022
Privatsphäre-Einstellungen ändern
Copyright Jörn Walter 2022