Mehr Sicherheit in Windows-Netzwerken

Verwaltete Dienstkonten nutzen - Managed Service Accounts

| Autor: Thomas Joos

Pixabay.com
Pixabay.com (Pixabay.com)

Verwaltete Dienstkonten sind Benutzerkonten in Active Directory, die zur Verwendung von lokalen Diensten verwendet werden. Dabei werden die Kennwörter dieser Konten nicht manuell, sondern automatisch bei bestimmten Bedingungen durch Active Directory geändert.

Der Vorteil ist, dass die Systemdienste, welche diese Benutzerkonten verwenden, bei Kennwortänderungen nicht von Administratoren konfiguriert werden müssen, sondern die Änderung der Kennwörter automatisch übernehmen.

Sie legen die Dienstkonten über die PowerShell, genauer gesagt über das Active Directory-Modul der PowerShell mit dem Cmdlet New-ADServiceAccount "Name Account" an.

Bevor Sie gruppierte Konten anlegen, müssen Sie zunächst einen neuen Masterschlüssel für die Domäne erstellen:

Add-KdsRootKey -EffectiveImmediately

Standardmäßig dauert es ab diesem Moment 10 Stunden, bis Sie verwaltete Dienstkonten anlegen können. In Testumgebungen können Sie den Zeitraum mit dem folgenden Befehl umgehen:

Add-KdsRootKey -EffectiveTime ((Get-Date).addhours(-10))

Der Ablauf beim manuellen Anlegen in der PowerShell bei der Verwendung von Managed Service Accounts ist folgender:

  1. Sie legen das verwaltete Dienstkonto in Active Directory an.
  2. Sie verbinden das Konto mit einem Computerkonto, auf dem der Dienst genutzt werden soll.
  3. Sie installieren das verwaltete Dienstkonto auf dem jeweiligen Computer.
  4. Sie passen die Systemdienste auf dem lokalen Computer an, um das neue Konto zu nutzen.