« Group Managed Service Accounts (gMSA) » : différence entre les versions

De NCad Wiki
Aller à la navigation Aller à la recherche
(Page créée avec « {{Rôles Active Directory}} {{Box Construction|article}} __TOC__ == Nouveau compte == Pour illustrer ce chapitre, nous allons créer le compte de service nommé '''FC01SRV-GAC''' que nous allons associé au serveur '''FC01SRV'''. === Création du compte sur le contrôleur de domaine === * Depuis le contrôleur de domaine, créer un nouveau compte '''gMSA''' à l’aide de la commande PowerShell '''New-ADServiceAccount''' ''<span style='color:blue'>(adapter... »)
 
Aucun résumé des modifications
 
(3 versions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
{{Rôles Active Directory}}
{{Rôles Active Directory}}
{{Box Construction|article}}


__TOC__
__TOC__
Ligne 24 : Ligne 22 :
* '''PrincipalsAllowedToRetrieveManagedPassword :''' Nom des machines autorisés à utiliser le compte de service.
* '''PrincipalsAllowedToRetrieveManagedPassword :''' Nom des machines autorisés à utiliser le compte de service.
* '''DNSHostName :''' Nom DNS du compte de service.
* '''DNSHostName :''' Nom DNS du compte de service.
{{ Box Attention | objet=Si la durée de vie du mot de passe est supérieure à 90 jours ''(paramètre ManagedPasswordIntervalInDays)'', ORADAD vous attribuera le score {{Score ORADAD 2}} pour le critère [https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html#vuln_password_change_msa_no_change_90 vuln_password_change_msa_no_change_90]. }}


=== Association du compte ===
=== Association du compte ===
Ligne 39 : Ligne 39 :


{{ Box Remarque | objet=La prise en compte des paramètres est immédiate !}}
{{ Box Remarque | objet=La prise en compte des paramètres est immédiate !}}
== Actions courantes ==
=== Régénérer le mot de passe du compte ===
* Bien que le mot de passe soit géré automatiquement, il peut arriver de vouloir régénérer une mot de passe. Pour cela, depuis le serveur, saisir la commande suivante :
{{ Box Console | objet=Reset-ADServiceAccountPassword -Identity <span style='color:blue'>FC01SRV-GAC</span> }}
=== Liste des machines associées au compte ===
* Il peut être utile de vouloir '''vérifier''' quel''(s)'' machine''(s)'' sont autorisée''(s)'' à utiliser le '''compte gMSA'''. Pour cela, utiliser la commande suivante :
{{ Box Console | objet=Get-ADServiceAccount -Identity <span style='color:blue'>FC01SRV-GAC</span> -Properties PrincipalsAllowedToRetrieveManagedPassword }}
=== Associer une machine supplémentaire au compte gMSA ===
* Il est possible de '''modifier la liste des machines''' autorisées à utiliser le '''compte gMSA'''. Pour cela, saisir la commande suivante :
{{ Box Console | objet=Set-ADServiceAccount -Identity <span style='color:blue'>FC01SRV-GAC</span> -PrincipalsAllowedToRetrieveManagedPassword <span style='color:blue'>FC01SRV$,SAVSRV$</span> }}

Dernière version du 12 août 2024 à 11:12

Rôles Active Directory

Installation du rôle ADCS | Gestion des certificats | Authentification par cartes à puce

Installation du rôle ADDS | Sécuriser son environnement Active Directory | Windows LAPS | gMSA


Archives : Contrôleur de domaine Windows Server 2003 | Intégration Client Ubuntu sur AD Windows Server 2003 | Windows Server 2008

Nouveau compte

Pour illustrer ce chapitre, nous allons créer le compte de service nommé FC01SRV-GAC que nous allons associé au serveur FC01SRV.

Création du compte sur le contrôleur de domaine

  • Depuis le contrôleur de domaine, créer un nouveau compte gMSA à l’aide de la commande PowerShell New-ADServiceAccount (adapter les éléments en bleu) :

New-ADServiceAccount -Name "FC01SRV-GAC" `
-Description "Serveurs de fichiers" `
-DNSHostName "FC01SRV.ncad.fr" `
-ManagedPasswordIntervalInDays 30 `
-PrincipalsAllowedToRetrieveManagedPassword "FC01SRV$" `
-Enabled $True

Avec :

  • ManagedPasswordIntervalInDays  : Période de renouvellement automatique du mot de passe.
  • PrincipalsAllowedToRetrieveManagedPassword : Nom des machines autorisés à utiliser le compte de service.
  • DNSHostName : Nom DNS du compte de service.

Si la durée de vie du mot de passe est supérieure à 90 jours (paramètre ManagedPasswordIntervalInDays), ORADAD vous attribuera le score 2 pour le critère vuln_password_change_msa_no_change_90.

Association du compte

  • Toujours depuis le contrôleur de domaine, le compte de service doit être associé au serveur sur lequel il s’exécute :

Add-ADComputerServiceAccount -Identity "FC01SRV" -ServiceAccount "FC01SRV-GAC"

Installation du compte sur le serveur

  • Depuis le serveur où sera utilisé le compte de service, installer le compte de service :

Add-WindowsFeature RSAT-AD-PowerShell
Install-ADServiceAccount FC01SRV-GAC

La prise en compte des paramètres est immédiate !

Actions courantes

Régénérer le mot de passe du compte

  • Bien que le mot de passe soit géré automatiquement, il peut arriver de vouloir régénérer une mot de passe. Pour cela, depuis le serveur, saisir la commande suivante :

Reset-ADServiceAccountPassword -Identity FC01SRV-GAC

Liste des machines associées au compte

  • Il peut être utile de vouloir vérifier quel(s) machine(s) sont autorisée(s) à utiliser le compte gMSA. Pour cela, utiliser la commande suivante :

Get-ADServiceAccount -Identity FC01SRV-GAC -Properties PrincipalsAllowedToRetrieveManagedPassword

Associer une machine supplémentaire au compte gMSA

  • Il est possible de modifier la liste des machines autorisées à utiliser le compte gMSA. Pour cela, saisir la commande suivante :

Set-ADServiceAccount -Identity FC01SRV-GAC -PrincipalsAllowedToRetrieveManagedPassword FC01SRV$,SAVSRV$