Group Managed Service Account (gMSA)

Ein Gruppenverwaltetes Dienstkonto (gMSA) ist in vielerlei Hinsicht ähnlich wie verwaltete Dienstkonten. Es verfügt über eine automatische Passwortverwaltung, ein langes Passwort, das automatisch regelmäßig aktualisiert wird. Der Unterschied zwischen verwalteten Dienstkonten und gMSA besteht darin, dass mehrere Maschinen dasselbe Konto verwenden können. Wenn Sie also einen Dienst in einer Serverfarm ausführen und Integrierte Authentifizierung verwenden möchten, sollten Sie gMSA verwenden. Wenn der Client ein Kerberos-Ticket anfordert, um auf den Dienst zuzugreifen, spielt es keine Rolle, welche Instanz in der Serverfarm die Anfrage bearbeitet.

Um gMSA im Active Directory zum Laufen zu bringen und als Voraussetzung für die Verwendung von gMSA während der Gatekeeper-Installation muss der Domänenadministrator den Root-Schlüssel des Schlüsselverteilungsdienstes erstellen. Dies kann durch Anmeldung bei einem Domänencontroller (Windows Server 2012 oder höher) und Ausführen von „Add-KdsRootKey -EffectiveImmediately“ in PowerShell erfolgen, das das Windows PowerShell Active Directory-Modul installiert hat.

Hinweis

Auch wenn das Flag -EffectiveImmediately verwendet wird, kann es einige Zeit dauern, bis der DC den KDS-Root-Schlüssel erstellt. Get-KdsRootKey kann verwendet werden, um zu überprüfen, ob der KDS-Root-Schlüssel erstellt wurde.

Weitere Informationen zu gMSA: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview

Weitere Informationen zur Erstellung des KDS-Root-Schlüssels: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key

Erstellung von gMSA während der Gatekeeper-Installation

Administratoren können den Installationsprozess das gMSA erstellen lassen oder der Administrator kann ein vorhandenes gMSA auswählen. Der Gatekeeper-Installationsassistent wird die notwendigen Berechtigungen für die Maschine einrichten, auf der der Gatekeeper installiert ist, um das gMSA-Konto verwenden zu dürfen. Wenn das gMSA-Konto während der Installation erstellt wird, muss der Server, der den Gatekeeper installiert, neu gestartet werden, um die notwendigen Tokens für den Zugriff auf das gMSA-Konto zu erhalten. Der Neustartprozess sollte reibungslos verlaufen und den Installationsassistenten beim Anmelden erneut öffnen, der dort fortfahren sollte, wo er vor dem Neustart aufgehört hat.