Group Managed Service Account (gMSA)

Ein Gruppenverwaltetes Dienstkonto (gMSA) ist in vielerlei Hinsicht ähnlich wie Verwaltete Dienstkonten. Es verfügt über eine automatische Passwortverwaltung, ein langes Passwort, das automatisch regelmäßig aktualisiert wird. Der Unterschied zwischen Verwalteten Dienstkonten und gMSA besteht darin, dass mehrere Maschinen dasselbe Konto verwenden können. Wenn Sie also einen Dienst in einer Serverfarm betreiben und Integrierte Authentifizierung verwenden möchten, sollten Sie gMSA verwenden. Wenn der Client ein Kerberos-Ticket anfordert, um auf den Dienst zuzugreifen, spielt es keine Rolle, welche Instanz in der Serverfarm die Anfrage verarbeitet.

Um gMSA im Active Directory zum Laufen zu bringen und als Voraussetzung für die Verwendung von gMSA während der Gatekeeper-Installation muss der Domänenadministrator den Root-Schlüssel des Schlüsselverteilungsdienstes erstellen. Dies kann durch Anmeldung an einem Domänencontroller (Windows Server 2012 oder später) und Ausführung von „Add-KdsRootKey -EffectiveImmediately“ in PowerShell erfolgen, das das Windows PowerShell Active Directory-Modul installiert hat.

Hinweis

Auch wenn das Flag -EffectiveImmediately verwendet wird, kann es einige Zeit dauern, bis der DC den KDS-Root-Schlüssel erstellt. Get-KdsRootKey kann verwendet werden, um zu überprüfen, ob der KDS-Root-Schlüssel erstellt wurde.

Weitere Informationen zu gMSA: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview

Weitere Informationen zum Erstellen des KDS-Root-Schlüssels: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key

Erstellen von gMSA während der Gatekeeper-Installation

Administratoren können den Installationsprozess das gMSA erstellen lassen oder der Administrator kann ein bestehendes gMSA auswählen. Der Gatekeeper-Installationsassistent wird die notwendigen Berechtigungen für die Maschine einrichten, auf der der Gatekeeper installiert ist, um die Verwendung des gMSA-Kontos zu erlauben. Wenn das gMSA-Konto während der Installation erstellt wird, muss der Server, der den Gatekeeper installiert, neu gestartet werden, um die notwendigen Tokens zu erhalten, um auf das gMSA-Konto zuzugreifen. Der Neustartprozess sollte reibungslos verlaufen und den Installationsassistenten beim Anmelden erneut öffnen, der dort fortfahren sollte, wo er vor dem Neustart aufgehört hat.