« Group Managed Service Accounts (gMSA) » : différence entre les versions

De NCad Wiki
Aller à la navigation Aller à la recherche
(Page créée avec « {{Rôles Active Directory}} {{Box Construction|article}} __TOC__ == Nouveau compte == Pour illustrer ce chapitre, nous allons créer le compte de service nommé '''FC01SRV-GAC''' que nous allons associé au serveur '''FC01SRV'''. === Création du compte sur le contrôleur de domaine === * Depuis le contrôleur de domaine, créer un nouveau compte '''gMSA''' à l’aide de la commande PowerShell '''New-ADServiceAccount''' ''<span style='color:blue'>(adapter... »)
 
Ligne 24 : Ligne 24 :
* '''PrincipalsAllowedToRetrieveManagedPassword :''' Nom des machines autorisés à utiliser le compte de service.
* '''PrincipalsAllowedToRetrieveManagedPassword :''' Nom des machines autorisés à utiliser le compte de service.
* '''DNSHostName :''' Nom DNS du compte de service.
* '''DNSHostName :''' Nom DNS du compte de service.
{{ Box Attention | objet=Si la durée de vie du mot de passe est supérieure à 90 jours ''(paramètre ManagedPasswordIntervalInDays)'', ORADAD vous attribuera le score {{Score ORADAD 2}} pour le critère [https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html#vuln_password_change_msa_no_change_90 vuln_password_change_msa_no_change_90]. }}


=== Association du compte ===
=== Association du compte ===

Version du 30 juillet 2024 à 08:08

Rôles Active Directory

Installation du rôle ADCS | Gestion des certificats | Authentification par cartes à puce

Installation du rôle ADDS | Sécuriser son environnement Active Directory | Windows LAPS | gMSA

Archives : Contrôleur de domaine Windows Server 2003 | Intégration Client Ubuntu sur AD Windows Server 2003 | Windows Server 2008

Cet article est en cours de rédaction.

Nouveau compte

Pour illustrer ce chapitre, nous allons créer le compte de service nommé FC01SRV-GAC que nous allons associé au serveur FC01SRV.

Création du compte sur le contrôleur de domaine

  • Depuis le contrôleur de domaine, créer un nouveau compte gMSA à l’aide de la commande PowerShell New-ADServiceAccount (adapter les éléments en bleu) :

New-ADServiceAccount -Name "FC01SRV-GAC" `
-Description "Serveurs de fichiers" `
-DNSHostName "FC01SRV.ncad.fr" `
-ManagedPasswordIntervalInDays 30 `
-PrincipalsAllowedToRetrieveManagedPassword "FC01SRV$" `
-Enabled $True

Avec :

  • ManagedPasswordIntervalInDays  : Période de renouvellement automatique du mot de passe.
  • PrincipalsAllowedToRetrieveManagedPassword : Nom des machines autorisés à utiliser le compte de service.
  • DNSHostName : Nom DNS du compte de service.

Si la durée de vie du mot de passe est supérieure à 90 jours (paramètre ManagedPasswordIntervalInDays), ORADAD vous attribuera le score 2 pour le critère vuln_password_change_msa_no_change_90.

Association du compte

  • Toujours depuis le contrôleur de domaine, le compte de service doit être associé au serveur sur lequel il s’exécute :

Add-ADComputerServiceAccount -Identity "FC01SRV" -ServiceAccount "FC01SRV-GAC"

Installation du compte sur le serveur

  • Depuis le serveur où sera utilisé le compte de service, installer le compte de service :

Add-WindowsFeature RSAT-AD-PowerShell
Install-ADServiceAccount FC01SRV-GAC

La prise en compte des paramètres est immédiate !
Récupérée de « https://wiki.ncad.fr/index.php?title=Group_Managed_Service_Accounts_(gMSA)&oldid=4475 »