gMSA – Expandindo o uso das Contas de Serviço (MSA) #70-411

Olá a todos! Tudo 100%?

No último post falamos sobre Service Account (MSA). Provavelmente você notou que tivemos que atrelar a Conta de Serviço a um Computador, certo? Se tratamos de um ambiente pequeno, com 10 servidores, por exemplo, já teríamos certo trabalho em associar e instalar a Account Service (MSA) em todos os computadores, um a um. Pensando nesse tipo de situação, a partir do Windows Server 2012 R2 temos o recurso de “Gerenciamento de Contas de Serviços por Grupo” ou gMSA (Group Managed Service Account).

Com essa funcionalidade é possível criar uma Conta de Serviço e associa-lá a um grupo de segurança. Todo computador que fizer parte deste grupo de segurança, “automaticamente”, poderá utilizar a conta de serviço. O gerenciamento e difusão da senha para esse tipo de conta (gMSA) é feito pelo KDC (Key Distribution Center) rodando em um Controlador de Domínio Windows Server 2012 R2 ou Windows Server 2012. Um ponto interessante é que podemos utilizar as gMSAs para Tarefas Agendadas, SQL e Pool de Aplicações do IIS.

Vamos a configuração:

O primeiro passo é criar uma “Chave Mestra” (Root Key);

Add-KDSRootKey –EffectiveImmediatly

Obs: Para utilizar essa chave é necessário aguardar 10h. Esse tempo todo é para garantir que todos os controladores de Domínio no ambiente recebem essa Root Key (Chave Mestra).

Obs2: Obviamente, para estudos não é legal aguardar 10 horas, sendo assim, utilize o comando abaixo para burlar esse tempo. APENAS PARA LAB, NÃO UTILIZE EM PRODUÇÃO!

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Digite o comando abaixo para criar uma MSA

New-ADServiceAccount –Name MSA1 –DNSHostname MSA1.NPINOTTI.LOCAL –Enable $True

-Name = Nome da Conta de Serviço

-DNSHostName = NomeDaConta.Dominio

Como comentei um pouco mais acima, as gMSA permitem a ativação para grupos ao invés de apenas Hosts. O passo abaixo mostra como ativar a gMSA para o grupo “Domain Controllers”.

Set-ADServiceAccount –Identity MSA1 –PrincipalsAllowedToRetrieveManagedPassword “Domain Controllers”

-Identity = Conta de Serviço criada no passo anterior (gMSA)

-PrincipalsAllowedToRetrieveManagedPassword = Grupo que poderá instalar a Service Account

Obs: Atenção ao Idioma no Server (vide imagem no final do post, onde eu “errei” esse comando)

Com esse comando definimos que todos os computadores membros do grupo “Domain Controllers” poderão fazer uso das Contas de Serviço (gMSA). Fique livre para criar os grupos e organizar da forma que preferir.

Instale a conta de Serviço no host desejado. É necessário utilizar um usuário membro do grupo “Domain Admins”

Install-ADServiceAccount MSA1

Pronto, agora basta configurar o usuário para logon do serviço como nós mostramos no último post (lá no final).




Abraço! Espero ter ajudado

2 comentários a "gMSA – Expandindo o uso das Contas de Serviço (MSA) #70-411"

  1. Fernando Almeida | 15 Agosto, 2023 às 7:40 pm | Responder

    Qualquer Windows service pode ser configuradvcom com gmsa?
    Tenho um conjunto de windows services em um cliente, e ele quer utilizar gmsa
    devo reescreve-los, ou existe alguma especificação técnica para serviço poder autenticas com gmsa,
    sao serviços em .net

    desde ja obrigado

    • Em teoria, qualquer serviço deveria ser compatível. A dificuldade aqui pode a necessidade de setar o password em algum campo no software, se esse for o caso, então não será possível, visto que o gMSA tem a senhas gerenciadas pelo proprio OS

Comentar

O seu endereço de email não será publicado.


*


Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.