Jump to content

Managed Service Accounts - ein paar Fragen


Direkt zur Lösung Gelöst von daabm,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wir haben bei uns bisher "Service Accounts" so definiert, dass es normale AD User waren die einen bestimmten Namensschema gefolgt sind. Diese hatten die Option "Passwort läuft nicht ab" und "User kann Passwort nicht ändern" aktiviert.

Diese Accounts wurden nur für eine festgelegte Aufgabe verwendet.

 

Nun gibt es ja auch die Möglichkeit Managend Service Accounts (ab 2008R2) und Group Managend Service Account (ab 2012) zu verwenden. Das wären dann "richtige" Service Accounts.

Ich hätte dazu ein paar Fragen und vielleicht kann mir diese jemand beantworten:

  • Benötige ich für MSA auch einen KdsRootKey oder wird das nur für die gMSA benötigt?
  • Kann man für einen MSA Accounts auch NTFS Berechtigungen vergeben (wir haben z.B. eine Software die läuft als Dienst (hier würde ich einen MSA erstellen) und dieser muss aber auch gleichzeitig auf eine Freigabe zugreifen können.
  • Der MSA wird einmal auf dem DC erstellt und einem Computer zugewiesen und zusätzlich muss auf diesem zugewiesen Computer auch noch ein Befehl ausgeführt werden, damit dieser MSA verwendet werden kann - ist das richtig?
  • Wird der MSA User auf dem zugewiesenen Server automatisch für "logon as service" User eingetragen oder muss das manuell gemacht werden?
  • Macht ein MSA nur bei Diensten/Tasks Sinn oder kann man das auch in jeder anderen Software verwenden, die dann einen Dienst mit einem named User ausführt? 

 

Vielen Dank.

Gruß

Link zu diesem Kommentar

Danke Martin,

 

jap, da hast du Recht. Weiß auch nicht wie ich auf die Idee gekommen bin eine Bullet List zu erstellen :-)

 

Der Punkt 5 hat sich auf Anwendungen bezogen, in denen ich z.b. während der Installation schon einen User angeben muss, der dann als Service Account für einen Dienst genommen wird. Hier muss ich dann ja das Passwort leer lassen. Ich vermute jetzt, dass die Software dann einen Fehlermeldung ausgibt, da man kein Passwort eingegeben hat oder wie macht Windows das mit dem AD Passwort?

 

Ich werde das aber einfach mal bei nächster Gelegenheit testen :)

Link zu diesem Kommentar

Moin,

 

vor 10 Minuten schrieb phatair:

Der Punkt 5 hat sich auf Anwendungen bezogen, in denen ich z.b. während der Installation schon einen User angeben muss, der dann als Service Account für einen Dienst genommen wird. Hier muss ich dann ja das Passwort leer lassen. Ich vermute jetzt, dass die Software dann einen Fehlermeldung ausgibt, da man kein Passwort eingegeben hat oder wie macht Windows das mit dem AD Passwort?

 

eine Anwendung muss dafür eingerichtet sein, mit einem MSA zu arbeiten. Wenn sie nur ein "klassisches" Konto vorsieht, ist sie i.d.R. ungeeignet.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...