Unter Windows 2008 R2 gibt es sog. Managed Service Accounts. Diese Accounts sind für Dienste / Services gedacht. Vorteil dieser Accounts ist, das diese keine festen Passwörter mehr benötigen. Früher wurde für einen Service ein Account mit einem festen Passwort angelegt das nicht abläuft. Mit dieser neuen Funktion ist das nicht mehr notwendig da der Server selbständig in der Lage ein neues Passwort zu vergeben wenn es ausläuft.
Für die Erstellung von MSA´s benötigt man die PowerShell im Adminmodus.
Benötigt wird das Modul ActiveDirectory.
import-module activedirectory New-ADServiceAccount -name msa1 New-ADServiceAccount -name msa2 -AccountPassword (ConvertTo-SecureString -AsPlainText 1q2w3e4r%T -Force) Add-ADComputerServiceAccount -Identity romulus -ServiceAccount msa1 Add-ADComputerServiceAccount -Identity romulus -ServiceAccount msa2
New-ADServiceAccount legt einen neuen MSA an. Falls man für eine Dienstinstallation ein Passwort benötigt kann man mit dem Zusatz -AccountPasswort (siehe MSA2) ein Startpasswort definieren. Nach Ablauf der Passwortgültigtkeit wird dann ebenfalls ein neues gesetzt. Mit Add-ADComputerServiceAccount wird festgelegt für welche Maschine der Serviceaccount ist.
Auf der Maschine wo der ServiceAccount benötigt wird muss dieser noch Installiert werden.
Import-Module ActiveDirectory Install-ADServiceAccount -Identity msa1 Install-ADServiceAccount -Identity msa2
Mit dem Kommando Install-ADServiceAccount wird der Maschine der ServiceAccount bekannt gemacht. Ab diesen Moment weiß die Maschine das sie für diesen Account auch die Passwörter wechseln muss wenn es soweit ist.
Wie werden die MSA`s verwendet?
Zum Testen habe ich einfach schnell 2 Dienste über die Kommandozeile angelegt.
Wichtig sind die Leerzeichen nach dem Istgleich.
sc create Dienst1 type= own binpath= c:\dienst1.exe sc create Dienst2 type= own binpath= c:\dienst2.exe
Jetzt benötigen wir die services.msc Managementkonsole, dort tauchen jetzt auch unsere 2 neuen Dienste auf.
Einen der Testdienste mit Doppelklick öffnen und in den Reiter „Logon“ gehen. Hier „This Account“ auswählen und auf „Browse“ gehen. In das Suchfeld msa1 oder msa2 eingeben und suchen. Das ganze mit OK bestätigen.
Der Account wird als msa1$ oder msa2$ angezeigt. Passwort kann man irgendwas eingeben, um das Passwort kümmert sich Windows selbst. Alles mit OK bestätigen.
Noch ein kleines „Nice to know“
Es gibt die Möglichkeit ACLs für Dienste selbst zu vergeben, d.H. nicht nur für Dienste die unter einem User laufen sondern auch für Dienste die im LOCAL SYSTEM laufen. Hier kann man den Diensten Rechte nehemen oder geben.
Als Location muss die Maschine selbst angegeben werden, in dem Fall „ROMULUS“. Im Suchfeld muss der entsprechende Dienst mit dem Prefix „nt service\“ eingegeben werden, also „nt service\dienst1“. Ohne das Prefix findet Windows den Dienst nicht!
Auf einen Dienst können alle ACLs die auf einen User anwendbar sind ebenfalls angewendet werden.