Group Managed Service Account (gMSA)
Das Group Managed Service-Konto (gMSA) ähnelt in vielerlei Hinsicht den Managed Service-Konten. Es hat eine Funktion für die automatische Kennwortverwaltung, ein langes Kennwort, das regelmäßig automatisch aktualisiert wird. Der Unterschied zwischen Managed Service-Konten und gMSA besteht darin, dass mehrere Geräte dasselbe Konto nutzen können. Wenn Sie also einen Dienst in einer Server-Farm ausführen und die Integrierte Authentifizierung verwenden möchten, sollten Sie gMSA nutzen. Wenn der Client ein Kerberos-Ticket für den Zugriff auf den Dienst anfordert, ist es unerheblich, welche Instanz auf dem Server die Anfrage verarbeitet.
Damit gMSA in Active Directory funktioniert und als Voraussetzung für die Verwendung von gMSA während der Gatekeeper-Installation muss der Domain-Controller den Root Key des Schlüsselverteilerdienstes nutzen. Dies kann durch Einwählen in einem Domain-Controller (Windows Server 2012 oder neuer) und durch Ausführen von „Add-KdsRootKey -EffectiveImmediately“ aus der PowerShell erfolgen, auf der das Windows PowerShell Active Directory-Modul installiert ist.
Auch wenn das Kennzeichen -EffectiveImmediately verwendet wird, kann es eine Weile dauern, bis der DC den KDS Root Key erstellt hat. Get-KdsRootKey kann verwendet werden, um zu verifizieren, dass der KDS Root Key erstellt wurde.
Nähere Informationen zu gMSA: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview
Nähere Informationen zu KDS Root Key erstellen: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key
gMSA während der Gatekeeper-Installation erstellen
Administratoren können das gMSA über den Installationsprozess erstellen lassen oder ein bestehendes gMSA auswählen. Der Gatekeeper-Installations-Wizard richtet die erforderlichen Berechtigungen für das Gerät ein, auf dem der Gatekeeper installiert ist, um den Einsatz des gMSA-Kontos zuzulassen. Wenn das gMSA-Konto während der Installation erstellt wurde, muss der Server, der den Gatekeeper installiert, neugestartet werden, um die erforderlichen Tokens für den Zugriff auf das gMSA-Konto zu erhalten. Der Neustart sollte reibungslos verlaufen und im Anschluss sollte sich der Installations-Wizard öffnen, wenn der Benutzer angemeldet ist.