Windows Server 2012: Group Managed Service Accounts

By Marc

Bei meiner letzten Einrichtung von ADFS für ein Office 365 Projekt bin ich mal wieder über die “Group Managed Service Accounts” gestolpert (kann man für die Einrichtung von ADFS benutzen). Ich kenne ich “Managed Service Accounts” noch aus Windows Server 2008 und erinnere mich an meine verzweifelten Versuche, einen sinnvollen, funktionierenden Einsatz dafür zu finden … leider vergebens. Deshalb wollte ich mir die aktualisierte Version der Managed Service Accounts noch einmal genauer anschauen.

Grundsätzlich finde ich den Gedanken von Managed Service Accounts super: Immer wenn ich einen Benutzeraccount unter Windows anlegen muss, weil ein Dienst oder ein Task mit speziellen Berechtigungen gestartet werden muss, ich ein komplexes Passwort generiere und dokumentiere, komme ich mir vor wie in der IT-Steinzeit. Das muss doch einfacher und sicherer gehen …

Und das ist der Punkt, an dem die Group Managed Service Accounts zum Einsatz kommen. Grundsätzlich handelt es sich um spezielle Konten, deren Passwort (120 Zeichen lang!) und Passwortänderung von Windows verwaltet wird. Ich kann den Account einschränken, auf welchen Maschinen er benutzt werden darf, ihm aber “ganz normal” Berechtigungen zuweisen.

Ein sehr schöner Artikel, der die genaue Funktionsweise der Service Accounts findet sich auf Technet.

Wichtig zu wissen: Vor der Einrichtung des ersten Accounts muss die Domäne darauf vorbereitet und mit folgendem PowerShell Befehl initialisiert werden:

Add-KDSRootKey

Erst nach 10 Stunden kann ein Managed Service Account eingerichtet werden, damit soll sichergestellt werden, dass alle Domain Controller die Information repliziert haben und somit mit dem Account Typ umgehen können.

Loading