CertBase Community
Die Lernplattform für Ihren Erfolg
Verwaltete Dienstkonten

Verwaltete Dienstkonten stellen eine Alternative zu regulären Domänenbenutzerkonten als Sicherheitsprinzipal für Serveranwendungen, die als Dienst ausgeführt werden, dar. Bei Domänenbenutzerkonten, die für die Dienstausführung verwendet werden, wird häufig Gebrauch von der Kontooption „Kennwort läuft nie ab" gemacht. Ist die Option nicht aktiviert, ergibt sich ein relativ hoher Administrationsaufwand für die Pflege und das Risiko, dass eine Serveranwendung durch Vergessen von manuellen Kennwortänderungen stehen bleibt.

Verwaltete Dienstkonten (Managed Service Accounts) bieten automatische Kennwortänderungen und können dadurch Sicherheit und Arbeitsaufwand optimieren.

Ein verwaltetes Dienstkonto wird mit dem Computerkonto des Computers, auf dem es verwendet wird, verknüpft. Die Kennwortänderungen werden dann mit der Änderung des Computerkennwortes durchgeführt. Wollen Sie das maximale Kennwortalter für verwaltete Dienstkonten konfigurieren, können Sie daher nicht die regulären Kennwortoptionen verwenden. Statt dessen ist die Sicherheitsoption Domänenmitglied: Maximalalter von Computerkennwörtern ausschlaggebend. Die Richtlinie ist standardmäßig auf 30 Tage festgelegt.

Die Erstellung und Verwaltung verwalteter Dienstkonten erfolgt vollständig über die Cmdlets des ActiveDirectory-Moduls der Windows PowerShell.

Voraussetzungen:

  • Verwaltete Dienstkonten können unter Windows Server 2008 R2 und unter Windows 7 verwendet werden.
  • Das Active Directory-Schema muss zur Unterstützung verwalteter Dienstkonten auf Windows Server 2008 R2 aktualisiert werden. Ein Domänencontroller mit dem Betriebssystem Windows Server 2008 R2 ist jedoch nicht erforderlich.

Features

  • Automatische Kennwortänderungen in den Domänenfunktionsebenen Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2.
  • Automatische Verwaltung des Dienstprinzipalnamens (SPN) in der Windows Server 2008 R2-Domänenfunktionsebene.
  • Möglichkeiten der Delegierung von Verwaltungsaufgaben an Nicht-Administratoren.

Einschränkungen

  • Ein verwaltetes Dienstkonto kann jeweils nur auf einem Computer verwendet werden. Der Hintergrund ist, dass Kennwortänderungen im Rahmen der Änderung des Computerkennwortes durchgeführt werden. Dienste, die auf mehreren Computern ausgeführt werden, wie beispielsweise bei einem Failovercluster, werden daher nicht unterstützt.

    Auf einem Computer können jedoch mehrere verwaltete Dienstkonten verwendet werden.

Allgemeine Vorgehensweise zur Verwendung verwalteter Dienstkonten

  • 1. Verwaltetes Dienstkonto als Active Directory-Objekt vom Typ msDS-ManagedServiceAccount erstellen.
  • 2. Verbinden des verwalteten Dienstkontos mit einem Computerkonto.
  • 3. Verwaltetes Dienstkonto auf dem Anwendungsserver installieren.
  • 4. Den Dienst der Anwendung für die Verwendung des verwalteten Dienstkontos konfigurieren

 Übersicht der relevanten Cmdlets

Mit Get-Help CmdletName oder Get-Help CmdletName -Detailed können Sie Informationen und Beispiele zu den Cmdlets erhalten.

  • New-ADServiceAccount - Erstellt ein neues verwaltetes Benutzerkonto.
  • Set-ADServiceAccount - Legt Eigenschaften für ein vorhandene verwaltetes Dienstkontos fest.
  • Get-ADServiceAccount - Ruft die Eigenschaften eines verwalteten Dienstkontos ab und zeigt sie an.
  • Add-ADComputerServiceAccount - Ordnet ein verwaltetes Dienstkonto einem Computerkonto zu.
  • Remove-ADComputerServiceAccount - Löscht die Verknüpfung zwischen einem verwalteten Dienstkonto und einem Computerkonto
  • Install-ADServiceAccount - Installiert ein verwaltetes Dienstkonto auf einem Server so, dass es dort verwendet werden kann.
  • Uninstall-ADServiceAccount - Deinstalliert ein verwaltete Dienstkonto.
  • Reset-ADServiceAccountPassword - Setzt das Kennwort eines verwalteten Dienstkontos zurück bzw. generiert ein neues.
  • Remove-ADServiceAccount - Löscht ein vorhandenes verwaltetes Dienstkonto aus dem Active Directory 

Weiterführende Links

Technet: Häufig gestellte Fragen zu verwalteten Dienstkonten
Technet: Schrittweise Anleitung zu Dienstkonten


Eingetragen Sun, 12. Feb 2012 11:46 von Maik
CertBase - IT-Prüfungsvorbereitung Online