Group Managed Service Accounts (gMSA)

De NCad Wiki
Version datée du 30 juillet 2024 à 07:56 par Cacheln (discussion | contributions) (Page créée avec « {{Rôles Active Directory}} {{Box Construction|article}} __TOC__ == Nouveau compte == Pour illustrer ce chapitre, nous allons créer le compte de service nommé '''FC01SRV-GAC''' que nous allons associé au serveur '''FC01SRV'''. === Création du compte sur le contrôleur de domaine === * Depuis le contrôleur de domaine, créer un nouveau compte '''gMSA''' à l’aide de la commande PowerShell '''New-ADServiceAccount''' ''<span style='color:blue'>(adapter... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigation Aller à la recherche

Rôles Active Directory

Installation du rôle ADCS | Gestion des certificats | Authentification par cartes à puce

Installation du rôle ADDS | Sécuriser son environnement Active Directory | Windows LAPS | gMSA


Archives : Contrôleur de domaine Windows Server 2003 | Intégration Client Ubuntu sur AD Windows Server 2003 | Windows Server 2008

Cet article est en cours de rédaction.

Nouveau compte

Pour illustrer ce chapitre, nous allons créer le compte de service nommé FC01SRV-GAC que nous allons associé au serveur FC01SRV.

Création du compte sur le contrôleur de domaine

  • Depuis le contrôleur de domaine, créer un nouveau compte gMSA à l’aide de la commande PowerShell New-ADServiceAccount (adapter les éléments en bleu) :

New-ADServiceAccount -Name "FC01SRV-GAC" `
-Description "Serveurs de fichiers" `
-DNSHostName "FC01SRV.ncad.fr" `
-ManagedPasswordIntervalInDays 30 `
-PrincipalsAllowedToRetrieveManagedPassword "FC01SRV$" `
-Enabled $True

Avec :

  • ManagedPasswordIntervalInDays  : Période de renouvellement automatique du mot de passe.
  • PrincipalsAllowedToRetrieveManagedPassword : Nom des machines autorisés à utiliser le compte de service.
  • DNSHostName : Nom DNS du compte de service.

Association du compte

  • Toujours depuis le contrôleur de domaine, le compte de service doit être associé au serveur sur lequel il s’exécute :

Add-ADComputerServiceAccount -Identity "FC01SRV" -ServiceAccount "FC01SRV-GAC"

Installation du compte sur le serveur

  • Depuis le serveur où sera utilisé le compte de service, installer le compte de service :

Add-WindowsFeature RSAT-AD-PowerShell
Install-ADServiceAccount FC01SRV-GAC

La prise en compte des paramètres est immédiate !