Zum Inhalt springen
Der Windows Papst – IT Blog Walter

Der Windows Papst – IT Blog Walter

Anleitungen & Lösungen rund um die IT

Blog Suche

  • Der Windows Papst
  • Wer bin ich
    • Mein Hobby
    • Unterstützung per PayPal
    • Security Access
  • Kontaktformular
  • Impressum
  • Datenschutz

Du bist hier:

  • Startseite
  • 2022
  • März
  • 10
  • gMSA Account per Remote erstellen und einrichten
gMSA Account per Remote erstellen und einrichten

gMSA Account per Remote erstellen und einrichten

10. März 2022 Jörn Walter Windows Server 2022

Group Managed Service Account per Invoke-Command managen

Managed Service Account müssen selbstverständlicherweise nicht direkt auf einem Domänen-Controller erstellt und eingerichtet werden. In vielen Unternehmen gibt es dafür administrative Workstations oder Server.

gMSA Account per Remote erstellen und einrichten

Die Umsetzung erfolgt in diesem Fall von einer Windows 11 Workstation aus und ich verzichte auf die Erstellung einer Security Group. Der Vorteil liegt darin, dass das Zielsystem so nicht neugestartet werden muss. Also das System, welches mit dem gMSA Account ausgestattet werden soll.

# Auf der Admin-Workstation die RSAT Tools installieren falls nicht vorhanden
Add-WindowsCapability -online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
Add-WindowsFeature RSAT-AD-PowerShell # Windows Server

gMSA Account per Remote erstellen und einrichten

# Root-Key über die Admin Workstation erstellen falls nicht vorhanden
Invoke-Command -ComputerName DC1 -ScriptBlock {Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))}

# Root-Key über einen entfernten DC erstellen falls nicht vorhanden
Invoke-Command -ComputerName DC1 -ScriptBlock {Add-KdsRootKey -EffectiveImmediately}

gMSA RootKey erzeugen

# Root Key prüfen
Get-KdsRootKey

KDS Root Key

# gMSA Account über die Admin Workstation erstellen und Details abfragen
New-ADServiceAccount -Name gMSA1$ -DNSHostname gMSA.windowspapst.de -PassThru
Get-ADServiceAccount -Identity gMSA1$ -Properties *

# gMSA Account über den entfernten DC erstellen und Details abfragen
Invoke-Command -ComputerName DC1 -ScriptBlock {New-ADServiceAccount -Name gMSA1$ -DNSHostname gMSA.windowspapst.de -PassThru
Get-ADServiceAccount -Identity gMSA1$ -Properties *}

gMSA Account erstellen und prüfen

# gMSA Account härten (Encryption Type) und Zielsystem zuweisen
Set-ADServiceAccount -Identity gMSA1 -KerberosEncryptionType “AES128, AES256” -PrincipalsAllowedToRetrieveManagedPassword “DC1$”,”DC2$” -PassThru

gMSA Kerberos Encryption Type

# Abfragen welches Zielsystem das Password abfragen darf (DC1, DC2)
Get-ADServiceAccount -Identity gMSA1 -Properties PrincipalsAllowedToRetrieveManagedPassword

PrincipalsAllowedToRetrieveManagedPassword

Und so entfernt man einen gMSA Account ohne Sicherheitsgruppe

Uninstall Group Managed Service Account

AccountADServiceAccountgmsaInstallinvoke-commandKontoPrincipalsAllowedToRetrieveManagedPasswordRemote

2 Kommentare

  1. Pingback: Uninstall Group Managed Service Account - Der Windows Papst - IT Blog Walter
  2. Pingback: Unterschied Managed Service Account & Group Managed Service Account - Der Windows Papst - IT Blog Walter

Kommentare sind geschlossen.

Kategorien

  • ADMX Vorlagen & Tools (2)
  • Allgemein (514)
  • Gruppenrichtlinien (44)
  • Internet (60)
  • Netzwerk (105)
  • Office & Exchange (221)
  • Security (216)
  • Skripte (517)
  • Windows 10 (218)
  • Windows 11 (17)
  • Windows 7 (76)
  • Windows 8 (68)
  • Windows Server 2008 (8)
  • Windows Server 2012 (91)
  • Windows Server 2016 (82)
  • Windows Server 2019 (106)
  • Windows Server 2022 (10)
  • Zertifikate (97)

Archive

Blogverzeichnisse

TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

Eine kleine Umfrage zum Jahresende

Zur Umfrage

Aktuelle Themen

  • Zertifikatverwaltung SQL Server-Konfigurations-Manager
    4. Dezember 2023
  • Transformationen und Herausforderungen: Europäische Fintech-Branche im Jahr 2023
    1. Dezember 2023
  • Disable HiberBoot FastBoot
    30. November 2023
  • Große Verlosung Ascomp Software 60 Lizenzen
    29. November 2023
  • Audials Produkte 2024 Verlosung
    29. November 2023
  • Software und Wissenschaft vereinen: Tipps für deine Masterarbeit
    25. November 2023
  • Spybot Cybersecurity Rabatt 20 Prozent
    22. November 2023
  • PRE Copilot with Bing Chat aktivieren
    15. November 2023
  • Exchange 2016 2019 Security Update November 2023
    15. November 2023
  • Excire Foto 2024 Excire Search 2022
    13. November 2023
  • Beste Softwaretesttools für Windows-Benutzer im Jahr 2023
    27. Oktober 2023
  • Wie revolutioniert robotergestützte Prozessautomatisierung Bank- und Finanzdienstleistungen?
    25. Oktober 2023
Privatsphäre-Einstellungen ändern
Copyright Jörn Walter 2022