Group Managed Service Account (gMSA)
Group Managed Service Account (gMSA) ist in vielerlei Hinsicht ähnlich wie Managed Service Accounts. Es verfügt über eine automatische Passwortverwaltung, ein langes Passwort, das automatisch regelmäßig aktualisiert wird. Der Unterschied zwischen Managed Service Accounts und gMSA besteht darin, dass mehrere Maschinen dasselbe Konto verwenden können. Wenn Sie also einen Dienst in einer Serverfarm betreiben und Integrierte Authentifizierung verwenden möchten, sollten Sie gMSA verwenden. Wenn der Client ein Kerberos-Ticket anfordert, um auf den Dienst zuzugreifen, spielt es keine Rolle, welche Instanz in der Serverfarm die Anfrage bearbeitet.
Um gMSA im Active Directory zum Laufen zu bringen und als Voraussetzung für die Verwendung von gMSA während der Gatekeeper-Installation muss der Domänenadministrator den Root-Schlüssel des Key Distribution Service erstellen. Dies kann durch Anmelden bei einem Domänencontroller (Windows Server 2012 oder höher) und Ausführen von „Add-KdsRootKey -EffectiveImmediately“ in PowerShell erfolgen, das das Windows PowerShell Active Directory-Modul installiert hat.
Hinweis
Auch wenn das Flag -EffectiveImmediately verwendet wird, kann es einige Zeit dauern, bis der DC den KDS-Root-Schlüssel erstellt. Get-KdsRootKey kann verwendet werden, um zu überprüfen, ob der KDS-Root-Schlüssel erstellt wurde.
Weitere Informationen zu gMSA: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview
Weitere Informationen zum Erstellen des KDS-Root-Schlüssels: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key
Erstellen von gMSA während der Gatekeeper-Installation
Administratoren können den Installationsprozess das gMSA erstellen lassen oder der Administrator kann ein vorhandenes gMSA auswählen. Der Gatekeeper-Installationsassistent wird die notwendigen Berechtigungen für die Maschine einrichten, auf der der Gatekeeper installiert ist, um das gMSA-Konto verwenden zu dürfen. Wenn das gMSA-Konto während der Installation erstellt wird, muss der Server, der den Gatekeeper installiert, neu gestartet werden, um die notwendigen Tokens zu erhalten, um auf das gMSA-Konto zuzugreifen. Der Neustartprozess sollte reibungslos verlaufen und den Installationsassistenten beim Anmelden erneut öffnen, der sollte dort fortfahren, wo er vor dem Neustart aufgehört hat.