« Group Managed Service Accounts (gMSA) » : différence entre les versions
Aucun résumé des modifications |
|||
| (Une version intermédiaire par le même utilisateur non affichée) | |||
| Ligne 1 : | Ligne 1 : | ||
{{Rôles Active Directory}} | {{Rôles Active Directory}} | ||
__TOC__ | __TOC__ | ||
| Ligne 48 : | Ligne 46 : | ||
* Bien que le mot de passe soit géré automatiquement, il peut arriver de vouloir régénérer une mot de passe. Pour cela, depuis le serveur, saisir la commande suivante : | * Bien que le mot de passe soit géré automatiquement, il peut arriver de vouloir régénérer une mot de passe. Pour cela, depuis le serveur, saisir la commande suivante : | ||
{{ Box Console | objet= Reset-ADServiceAccountPassword -Identity <span style='color:blue'>FC01SRV-GAC</span> }} | {{ Box Console | objet=Reset-ADServiceAccountPassword -Identity <span style='color:blue'>FC01SRV-GAC</span> }} | ||
=== Liste des machines associées au compte === | |||
* Il peut être utile de vouloir '''vérifier''' quel''(s)'' machine''(s)'' sont autorisée''(s)'' à utiliser le '''compte gMSA'''. Pour cela, utiliser la commande suivante : | |||
{{ Box Console | objet=Get-ADServiceAccount -Identity <span style='color:blue'>FC01SRV-GAC</span> -Properties PrincipalsAllowedToRetrieveManagedPassword }} | |||
=== Associer une machine supplémentaire au compte gMSA === | |||
* Il est possible de '''modifier la liste des machines''' autorisées à utiliser le '''compte gMSA'''. Pour cela, saisir la commande suivante : | |||
{{ Box Console | objet=Set-ADServiceAccount -Identity <span style='color:blue'>FC01SRV-GAC</span> -PrincipalsAllowedToRetrieveManagedPassword <span style='color:blue'>FC01SRV$,SAVSRV$</span> }} | |||
Dernière version du 12 août 2024 à 11:12
Installation du rôle ADDS | Sécuriser son environnement Active Directory | Windows LAPS | gMSA
Archives : Contrôleur de domaine Windows Server 2003 | Intégration Client Ubuntu sur AD Windows Server 2003 | Windows Server 2008
Nouveau compte
Pour illustrer ce chapitre, nous allons créer le compte de service nommé FC01SRV-GAC que nous allons associé au serveur FC01SRV.
Création du compte sur le contrôleur de domaine
- Depuis le contrôleur de domaine, créer un nouveau compte gMSA à l’aide de la commande PowerShell New-ADServiceAccount (adapter les éléments en bleu) :
|
|
|
Avec :
- ManagedPasswordIntervalInDays : Période de renouvellement automatique du mot de passe.
- PrincipalsAllowedToRetrieveManagedPassword : Nom des machines autorisés à utiliser le compte de service.
- DNSHostName : Nom DNS du compte de service.
|
|
Si la durée de vie du mot de passe est supérieure à 90 jours (paramètre ManagedPasswordIntervalInDays), ORADAD vous attribuera le score 2 pour le critère vuln_password_change_msa_no_change_90. |
Association du compte
- Toujours depuis le contrôleur de domaine, le compte de service doit être associé au serveur sur lequel il s’exécute :
|
|
|
Installation du compte sur le serveur
- Depuis le serveur où sera utilisé le compte de service, installer le compte de service :
|
|
|
| La prise en compte des paramètres est immédiate ! |
Actions courantes
Régénérer le mot de passe du compte
- Bien que le mot de passe soit géré automatiquement, il peut arriver de vouloir régénérer une mot de passe. Pour cela, depuis le serveur, saisir la commande suivante :
|
|
|
Liste des machines associées au compte
- Il peut être utile de vouloir vérifier quel(s) machine(s) sont autorisée(s) à utiliser le compte gMSA. Pour cela, utiliser la commande suivante :
|
|
|
Associer une machine supplémentaire au compte gMSA
- Il est possible de modifier la liste des machines autorisées à utiliser le compte gMSA. Pour cela, saisir la commande suivante :
|
|
|