Fala galera, 100%?
Hoje é dia de iniciarmos uma série de posts relacionados a tópicos que são cobrados na prova 70-411. Farei uma espécie de resumo, baseando-me nos meu estudos. A algum tempo fui aprovado no exame 70-410 e decidi que só daria sequencia na formação MCSA/MCSE quando tivesse contato pratico com a maior parte dos tópicos cobrados nas provas. No momento estou me preparando para o exame 411. Estamos juntos nessa batalha e espero te ajudar o máximo possível.
O tópico de hoje é sobre “Contas de Serviço” ou “Service Account” ou mesmo apenas “MSA (Managed Service Account)”.
A pergunta que não quer calar: Quem cria contas de usuário especificamente para execução de serviços do Windows? São poucos os profissionais que tem esse tipo de prática, e o que tem, por conta de toda turbulência do dia-a-dia acabam por esquecer a senha utilizada e/ou deixam de renovar a senha por um longo período.
As Contas de Serviço vieram para sanar esse tipo de problema. Esse recurso foi inserido a partir do Windows Server 2008 R2 e basicamente se presta a fornecer contas específicas para execução de serviços do Windows. A primeira vista parece não ter nenhuma diferença das contas padrão, entretanto, as MSAs possuem uma senha gigantesca que é renovada a cada 30 dias pelo próprio Windows Server, não permite logon interativo e não podem ser bloqueadas. Maravilha, não?
A utilização desse recurso garante a segurança do ambiente e também sua estabilidade, tendo em vista que, em caso de mudança de senha do usuário administrado (geralmente todos os serviços instalado rodam com essa conta) ou esquecimento da conta criada para tal serviço, o funcionamento do mesmo (o serviço) não será impactado.
Para realizar a configuração das Contas de Serviços (MSA) precisará do seguinte:
Ambiente com Active Directory DS instalado
-
PowerShell´
-
Nível funcional 2008 R2 ou superior
Vamos à pratica! Utilizarei o serviço chamado “Openfire” para os testes. Abaixo temos a configuração da MSA;
Abra uma console do PowerShell e execute o seguinte comando
New-ADServiceAccount –Name Openfire –RestrictToSingleComputer –Enable $True
-Name = Nome da Conta (por boa pratica, criada por mim mesmo, utilizo o nome do serviço que fará uso da conta
-RestrictToSingleComputer = Esse parâmetro faz o link da Conta de Serviço a um computador específico
Agora devemos associar a Conta de Serviço (Account Service) ao computador que terá o serviço rodando.
Add-ADComputerServiceAccount –Identity SRV-NP-01 –ServiceAccount Openfire
-Identity = Nome do Computador destino
-ServiceAccount = Nome utilizado no passo acima, para nomear a Conta de Serviço (MSA)
Após associar a Conta ao Computador é necessário instalar a MSA no computador destino
Install-ADServiceAccount –Identity Openfire
Depois da execução dos comandos acima basta associar a conta criada ao serviço a ser executado. Acesse “services.msc” e encontre o serviço que deseja associar à Service Account recém criada. Clique com o botão direito no mesmo e vá em propriedades. Na tela exibida clique na aba “Logon”.
Selecione a opção “Esta conta” e insira o a conta de serviço criada anteriormente seguinte o padrão “dominio\conta”. No meu caso ficou: NPINOTTI\Openfire$. O sinal de dolar ($) informa que a conta a ser utilizada é uma Conta de Serviço. Os campos de Senha e Confirmação de senha devem ser deixados em branco, pois a senha desse tipo de conta é gerenciada pelo próprio sistema.
Depois de clicar em “OK” será exibida uma mensagem informando que a conta definida recebeu direitos de execução sobre o serviços. Clique novamente em OK e uma nova mensagem será exibida, informando que é necessário parar e iniciar o serviço para que as modificações surtam efeito. Repare que logo depois de clicar em “OK” a senha será preenchida de forma automática.
Por hoje é só. No próximo post falaremos sobre gMSA, uma melhoria inserida no Windows Server 2012 que expande o uso das Contas de Serviço (MSA).
Grande abraço!
Faça o primeiro comentário a "Service Accounts (MSA) – Windows Server 2012 R2 #70-411"