« Group Managed Service Accounts (gMSA) » : différence entre les versions
(Page créée avec « {{Rôles Active Directory}} {{Box Construction|article}} __TOC__ == Nouveau compte == Pour illustrer ce chapitre, nous allons créer le compte de service nommé '''FC01SRV-GAC''' que nous allons associé au serveur '''FC01SRV'''. === Création du compte sur le contrôleur de domaine === * Depuis le contrôleur de domaine, créer un nouveau compte '''gMSA''' à l’aide de la commande PowerShell '''New-ADServiceAccount''' ''<span style='color:blue'>(adapter... ») |
Aucun résumé des modifications |
||
(3 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
{{Rôles Active Directory}} | {{Rôles Active Directory}} | ||
__TOC__ | __TOC__ | ||
Ligne 24 : | Ligne 22 : | ||
* '''PrincipalsAllowedToRetrieveManagedPassword :''' Nom des machines autorisés à utiliser le compte de service. | * '''PrincipalsAllowedToRetrieveManagedPassword :''' Nom des machines autorisés à utiliser le compte de service. | ||
* '''DNSHostName :''' Nom DNS du compte de service. | * '''DNSHostName :''' Nom DNS du compte de service. | ||
{{ Box Attention | objet=Si la durée de vie du mot de passe est supérieure à 90 jours ''(paramètre ManagedPasswordIntervalInDays)'', ORADAD vous attribuera le score {{Score ORADAD 2}} pour le critère [https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html#vuln_password_change_msa_no_change_90 vuln_password_change_msa_no_change_90]. }} | |||
=== Association du compte === | === Association du compte === | ||
Ligne 39 : | Ligne 39 : | ||
{{ Box Remarque | objet=La prise en compte des paramètres est immédiate !}} | {{ Box Remarque | objet=La prise en compte des paramètres est immédiate !}} | ||
== Actions courantes == | |||
=== Régénérer le mot de passe du compte === | |||
* Bien que le mot de passe soit géré automatiquement, il peut arriver de vouloir régénérer une mot de passe. Pour cela, depuis le serveur, saisir la commande suivante : | |||
{{ Box Console | objet=Reset-ADServiceAccountPassword -Identity <span style='color:blue'>FC01SRV-GAC</span> }} | |||
=== Liste des machines associées au compte === | |||
* Il peut être utile de vouloir '''vérifier''' quel''(s)'' machine''(s)'' sont autorisée''(s)'' à utiliser le '''compte gMSA'''. Pour cela, utiliser la commande suivante : | |||
{{ Box Console | objet=Get-ADServiceAccount -Identity <span style='color:blue'>FC01SRV-GAC</span> -Properties PrincipalsAllowedToRetrieveManagedPassword }} | |||
=== Associer une machine supplémentaire au compte gMSA === | |||
* Il est possible de '''modifier la liste des machines''' autorisées à utiliser le '''compte gMSA'''. Pour cela, saisir la commande suivante : | |||
{{ Box Console | objet=Set-ADServiceAccount -Identity <span style='color:blue'>FC01SRV-GAC</span> -PrincipalsAllowedToRetrieveManagedPassword <span style='color:blue'>FC01SRV$,SAVSRV$</span> }} |
Dernière version du 12 août 2024 à 11:12
Installation du rôle ADDS | Sécuriser son environnement Active Directory | Windows LAPS | gMSA
Archives : Contrôleur de domaine Windows Server 2003 | Intégration Client Ubuntu sur AD Windows Server 2003 | Windows Server 2008
Nouveau compte
Pour illustrer ce chapitre, nous allons créer le compte de service nommé FC01SRV-GAC que nous allons associé au serveur FC01SRV.
Création du compte sur le contrôleur de domaine
- Depuis le contrôleur de domaine, créer un nouveau compte gMSA à l’aide de la commande PowerShell New-ADServiceAccount (adapter les éléments en bleu) :
|
|
Avec :
- ManagedPasswordIntervalInDays : Période de renouvellement automatique du mot de passe.
- PrincipalsAllowedToRetrieveManagedPassword : Nom des machines autorisés à utiliser le compte de service.
- DNSHostName : Nom DNS du compte de service.
|
Si la durée de vie du mot de passe est supérieure à 90 jours (paramètre ManagedPasswordIntervalInDays), ORADAD vous attribuera le score 2 pour le critère vuln_password_change_msa_no_change_90. |
Association du compte
- Toujours depuis le contrôleur de domaine, le compte de service doit être associé au serveur sur lequel il s’exécute :
|
|
Installation du compte sur le serveur
- Depuis le serveur où sera utilisé le compte de service, installer le compte de service :
|
|
La prise en compte des paramètres est immédiate ! |
Actions courantes
Régénérer le mot de passe du compte
- Bien que le mot de passe soit géré automatiquement, il peut arriver de vouloir régénérer une mot de passe. Pour cela, depuis le serveur, saisir la commande suivante :
|
|
Liste des machines associées au compte
- Il peut être utile de vouloir vérifier quel(s) machine(s) sont autorisée(s) à utiliser le compte gMSA. Pour cela, utiliser la commande suivante :
|
|
Associer une machine supplémentaire au compte gMSA
- Il est possible de modifier la liste des machines autorisées à utiliser le compte gMSA. Pour cela, saisir la commande suivante :
|
|