Zum Inhalt springen
Der Windows Papst – IT Blog Walter

Der Windows Papst – IT Blog Walter

Anleitungen & Lösungen rund um die IT

Blog Suche

  • Der Windows Papst
  • Wer bin ich
    • Unterstützung per PayPal
    • Mein Hobby
  • Kontaktformular
  • Impressum
  • Datenschutz

Du bist hier:

  • Startseite
  • 2022
  • März
  • 10
  • gMSA Account per Remote erstellen und einrichten
gMSA Account per Remote erstellen und einrichten

gMSA Account per Remote erstellen und einrichten

10. März 2022 Jörn Walter Windows Server 2022

Group Managed Service Account per Invoke-Command managen

Managed Service Account müssen selbstverständlicherweise nicht direkt auf einem Domänen-Controller erstellt und eingerichtet werden. In vielen Unternehmen gibt es dafür administrative Workstations oder Server.

gMSA Account per Remote erstellen und einrichten

Die Umsetzung erfolgt in diesem Fall von einer Windows 11 Workstation aus und ich verzichte auf die Erstellung einer Security Group. Der Vorteil liegt darin, dass das Zielsystem so nicht neugestartet werden muss. Also das System, welches mit dem gMSA Account ausgestattet werden soll.

# Auf der Admin-Workstation die RSAT Tools installieren falls nicht vorhanden
Add-WindowsCapability -online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
Add-WindowsFeature RSAT-AD-PowerShell # Windows Server

gMSA Account per Remote erstellen und einrichten

# Root-Key über die Admin Workstation erstellen falls nicht vorhanden
Invoke-Command -ComputerName DC1 -ScriptBlock {Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))}

# Root-Key über einen entfernten DC erstellen falls nicht vorhanden
Invoke-Command -ComputerName DC1 -ScriptBlock {Add-KdsRootKey -EffectiveImmediately}

gMSA RootKey erzeugen

# Root Key prüfen
Get-KdsRootKey

KDS Root Key

# gMSA Account über die Admin Workstation erstellen und Details abfragen
New-ADServiceAccount -Name gMSA1$ -DNSHostname gMSA.windowspapst.de -PassThru
Get-ADServiceAccount -Identity gMSA1$ -Properties *

# gMSA Account über den entfernten DC erstellen und Details abfragen
Invoke-Command -ComputerName DC1 -ScriptBlock {New-ADServiceAccount -Name gMSA1$ -DNSHostname gMSA.windowspapst.de -PassThru
Get-ADServiceAccount -Identity gMSA1$ -Properties *}

gMSA Account erstellen und prüfen

# gMSA Account härten (Encryption Type) und Zielsystem zuweisen
Set-ADServiceAccount -Identity gMSA1 -KerberosEncryptionType “AES128, AES256” -PrincipalsAllowedToRetrieveManagedPassword “DC1$”,”DC2$” -PassThru

gMSA Kerberos Encryption Type

# Abfragen welches Zielsystem das Password abfragen darf (DC1, DC2)
Get-ADServiceAccount -Identity gMSA1 -Properties PrincipalsAllowedToRetrieveManagedPassword

PrincipalsAllowedToRetrieveManagedPassword

Und so entfernt man einen gMSA Account ohne Sicherheitsgruppe

https://www.der-windows-papst.de/2022/03/11/uninstall-group-managed-service-account/

AccountADServiceAccountgmsaInstallinvoke-commandKontoPrincipalsAllowedToRetrieveManagedPasswordRemote

2 Kommentare

  1. Pingback: Uninstall Group Managed Service Account - Der Windows Papst - IT Blog Walter
  2. Pingback: Unterschied Managed Service Account & Group Managed Service Account - Der Windows Papst - IT Blog Walter

Die Kommentare sind geschlossen.

Kategorien

  • ADMX Vorlagen & Tools (2)
  • Allgemein (587)
  • Gruppenrichtlinien (47)
  • Internet (60)
  • Netzwerk (112)
  • Office & Exchange (241)
  • Security (239)
  • Skripte (536)
  • Windows 10 (219)
  • Windows 11 (36)
  • Windows 7 (76)
  • Windows 8 (68)
  • Windows Server 2008 (8)
  • Windows Server 2012 (91)
  • Windows Server 2016 (82)
  • Windows Server 2019 (107)
  • Windows Server 2022 (18)
  • Windows Server 2025 (13)
  • Zertifikate (107)

Archive

Blogverzeichnisse

TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

Aktuelle Themen

  • WinGet Version 1.11.400
    24. Juni 2025
  • Import Export Scheduled Tasks Tool
    13. Juni 2025
  • IIS Inetpub Folder ACL Manager
    7. Juni 2025
  • Das Mesh-Netzwerk für WLAN: Funktionsweise, Vorteile und Anwendung
    1. Juni 2025
  • Exchange SMTP Test anonym und authentifiziert
    28. Mai 2025
  • Gebrauchte Windows Server Lizenzen: Was Sie beachten müssen
    28. Mai 2025
  • WinRM-TLS Verbindungstest Tool
    22. Mai 2025
  • Krypto-Debitkarten vs. Bankkarten in Deutschland – Ein neutraler Vergleich 2025
    21. Mai 2025
  • ASP.NET Entwicklung mit KI Tools: Tipps Einstellung von Entwicklern
    16. Mai 2025
  • Missing Advanced Audit Policy Configuration RSOP
    16. Mai 2025
Copyright Jörn Walter 2025