Jump to content
phatair

Managed Service Accounts - ein paar Fragen

Recommended Posts

Hallo zusammen,

 

wir haben bei uns bisher "Service Accounts" so definiert, dass es normale AD User waren die einen bestimmten Namensschema gefolgt sind. Diese hatten die Option "Passwort läuft nicht ab" und "User kann Passwort nicht ändern" aktiviert.

Diese Accounts wurden nur für eine festgelegte Aufgabe verwendet.

 

Nun gibt es ja auch die Möglichkeit Managend Service Accounts (ab 2008R2) und Group Managend Service Account (ab 2012) zu verwenden. Das wären dann "richtige" Service Accounts.

Ich hätte dazu ein paar Fragen und vielleicht kann mir diese jemand beantworten:

  • Benötige ich für MSA auch einen KdsRootKey oder wird das nur für die gMSA benötigt?
  • Kann man für einen MSA Accounts auch NTFS Berechtigungen vergeben (wir haben z.B. eine Software die läuft als Dienst (hier würde ich einen MSA erstellen) und dieser muss aber auch gleichzeitig auf eine Freigabe zugreifen können.
  • Der MSA wird einmal auf dem DC erstellt und einem Computer zugewiesen und zusätzlich muss auf diesem zugewiesen Computer auch noch ein Befehl ausgeführt werden, damit dieser MSA verwendet werden kann - ist das richtig?
  • Wird der MSA User auf dem zugewiesenen Server automatisch für "logon as service" User eingetragen oder muss das manuell gemacht werden?
  • Macht ein MSA nur bei Diensten/Tasks Sinn oder kann man das auch in jeder anderen Software verwenden, die dann einen Dienst mit einem named User ausführt? 

 

Vielen Dank.

Gruß

Share this post


Link to post
Share on other sites

Durchnumerieren wäre besser als eine Bullet List, dann klappt es mit der Antwort besser :-)

1. Nein

2. Ja

3. Ja (bzw. wieso auf dem DC? Der wird in der Domäne erstellt, von wo Du das machst ist schnuppe...)

4. IMHO Nein - Ja

5. Unverständlich

 

  • Thanks 1

Share this post


Link to post
Share on other sites

Danke Martin,

 

jap, da hast du Recht. Weiß auch nicht wie ich auf die Idee gekommen bin eine Bullet List zu erstellen :-)

 

Der Punkt 5 hat sich auf Anwendungen bezogen, in denen ich z.b. während der Installation schon einen User angeben muss, der dann als Service Account für einen Dienst genommen wird. Hier muss ich dann ja das Passwort leer lassen. Ich vermute jetzt, dass die Software dann einen Fehlermeldung ausgibt, da man kein Passwort eingegeben hat oder wie macht Windows das mit dem AD Passwort?

 

Ich werde das aber einfach mal bei nächster Gelegenheit testen :)

Share this post


Link to post
Share on other sites

Moin,

 

vor 10 Minuten schrieb phatair:

Der Punkt 5 hat sich auf Anwendungen bezogen, in denen ich z.b. während der Installation schon einen User angeben muss, der dann als Service Account für einen Dienst genommen wird. Hier muss ich dann ja das Passwort leer lassen. Ich vermute jetzt, dass die Software dann einen Fehlermeldung ausgibt, da man kein Passwort eingegeben hat oder wie macht Windows das mit dem AD Passwort?

 

eine Anwendung muss dafür eingerichtet sein, mit einem MSA zu arbeiten. Wenn sie nur ein "klassisches" Konto vorsieht, ist sie i.d.R. ungeeignet.

 

Gruß, Nils

 

  • Thanks 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...