GMSA (Group Managed Service Accounts)
Grup tarafından yönetilen hizmet hesabı (GMSA), DC tarafından yönetilen bir hizmet hesabıdır. Bunun anlamı, hizmet hesabının parolasını elle güncelleştirmek yerine Active Directory, parola alan ilkesine göre güncelleştirir. Normal kullanıcı hesaplarını hizmet hesapları olarak kullanan birçok kuruluş, bu hesaplar için karmaşık olmaktan ziyade basit ve statik bir şifre belirleme eğilimindedir.
Grup Tarafından Yönetilen Hizmet Hesapları, forest işlev düzeyi Windows Server 2012 veya sonrası olmalıdır. Windows Server 2008 düzeyindeki forestlar, MSA (Stand-Alone Managed Service Account) adı verilen bir GMSA sürümünü desteklemektedir; ancak bu her bir MSA’nın yalnızca tek bir makinede kurulabilmesi için bir GMSA’dan daha sınırlıdır.
GMSA’ları Windows PowerShell kullanarak yönetiyorsunuz. Bir GMSA oluşturmak için hesabın adını, hesaba ilişkili bir DNS ana bilgisayar adını ve hesabı kullanmasına izin verilen güvenlik sorumlularının adını belirtin. Örneğin ortamınıza yeni bir SQL sistemi kuruyorsunuz. Bu sistem için Security “SQL” grubu oluşturulur ve ilgili gruba SQL bilgisayar hesabı üye edilir.
Add-KdsRootKey -EffectiveImmediately
New-ADServiceAccount SQLServices -DNSHostname sqlservices.babur.loca -PrincipalsAllowedToRetrieveManagedPassword “SQL”
Hesabı belirli bir sunucuya yükleyerek kullanabilmeniz için Install-ADServiceAccount cmdlet’i çalıştırın. Örneğin, hesabı servislere atayabilmeniz için SQLServices hesabını bir sunucuya kurmak için şu komutu çalıştırın:
Install-ADServiceAccount SQLServices
Hesabı bir servise atarken, şifreyi silmeli ve şifreyi onay kutusunu işaretlemelisiniz. Windows Server 2016, hesabın bir GMSA olduğunu ve şifre ayarlarını yönettiğini tanır.
Servis hesabı oluştururken “Key does not exist” hatası alırsanız bunun anlamı GMSA oluşturmadan önce tüm DC lerin DC Replikasyonuna sağlamak için servis hesabı oluşturma süresinden 10 saat beklememiz gerekmektedir. 10 saat içerisinde tüm DC’lerden önce şifre oluşturmasını engeller. Eğer test ortamında çalışıyor iseniz aşağıdaki Powershell komutunu kullanarak hata almayı engelleyebilirsiniz.
Add-KdsRootKey –EffectiveTime ((get-date) .addhours (-10))
Bu konu ile birlikte GMSA’ları hemen kullanmamıza izin verir çünkü başlangıç zamanını 10 saat içinde ayarlar.
Başka bir yazımızda görüşmek üzere,