Vor allem die Dienste "Lokaler Dienst", "Netzwerkdienst" und "Lokales System" werden oft für Serveranwendungen verwendet. Der Nachteil dieser lokalen Dienste ist die fehlende Möglichkeit, Einstellungen auf Domänenebene vorzunehmen. Setzen Administratoren statt dieser Konten Benutzerkonten aus dem Active Directory ein, ergeben sich neue Probleme bezüglich der Verwaltung der Kennwörter. Um diese Probleme zu lösen, gibt es in Windows Server 2008 R2 und Windows 7 zwei neue Dienstarten: verwaltete Dienstkonten (Managed Service Accounts) und virtuelle Konten.

Damit Sie die OU "Managed Service Accounts" und die darin angelegten Dienstkonten sehen, müssen Sie unter Umständen im Snap-In "Active Directory-Benutzer und -Computer" die erweiterte Ansicht über das Menü "Ansicht" aktivieren. Die Verwaltung der Managed Service Accounts findet ausschließlich in der PowerShell statt. Verwenden Sie nicht das Snap-In "Active Directory-Benutzer und -Computer".

Technische Hintergründe
Verwaltete Dienstkonten sind bestimmte Benutzerkonten im Active Directory, die zur Verwendung von lokalen Diensten taugen. Dabei werden die Kennwörter dieser Konten nicht manuell, sondern automatisch bei bestimmten Bedingungen durch das Active Directory geändert. Administratoren können solche Änderungen manuell anstoßen. Der Vorteil ist, dass die Systemdienste, die diese Benutzerkonten verwenden, bei Kennwortänderungen nicht von Administratoren konfiguriert werden müssen, sondern die Änderung der Kennwörter automatisch übernehmen. Die Verwaltung solcher Dienstkonten lässt sich auch an Nicht-Administratoren delegieren, zum Beispiel an interne Programmierer des Datenbanksystems.

Diese Dienste werden nur unter Windows Server 2008 R2 und Windows 7 unterstützt, auf anderen Windows-Versionen können Sie diese Dienste nicht nutzen. Außerdem darf es auf jedem Computer immer nur ein verwaltetes Dienstkonto geben. Genau aus diesem Grund sind diese Dienste auch nicht clusterfähig, da hier Serveranwendungen auf mehreren Knoten verteilt sein können. Die Domäne darf zwar noch Domänencontroller mit Windows Server 2003/2008 enthalten, allerdings müssen Sie dann das Schema erweitern. Führen Sie in der Domäne adprep /domainprep und in der Gesamtstruktur adprep /forestprep aus. Mindestens ein Domänencontroller muss unter Windows Server 2008 R2 laufen. Adprep finden Sie auf der Windows Server 2008 R2-DVD im Verzeichnis "Support\adprep".

Bei den Schemaänderungen integriert Windows Server 2008 R2 ein neues Objekt (msDS-ManagedServiceAccount). Dieses Benutzerkonto vereint die Attribute von Benutzer- und Computerkonten. Das Kennwort des Computers verhält sich wie das Kennwort eines Computerkontos im Active Directory, lässt sich also zentralisiert, durch das System selbst, steuern. Das bedeutet, dass das verwaltete Benutzerkonto eines Computers dann aktualisiert wird, wenn das Active Directory auch das Kennwort des jeweiligen Computerkontos anpasst, das dem verwalteten Dienstkonto zugewiesen ist.

Diese Einstellungen lassen sich auf dem Server in der Registry anpassen. Navigieren Sie dazu zum Schlüssel "HKEY_LOCAL_ MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetLogon \ Parameters". Wichtig sind an dieser Stelle die beiden folgenden Werte:
 

• DisablePasswordChange: Der Wert (DWORD) muss auf "0" oder "1" gesetzt sein. Ist der Wert nicht vorhanden, geht Windows vom Wert "0" aus.
• MaximumPasswordAge: Hier legen Sie einen Wert von bis zu 1.000.000 in Tagen fest. Der Standardwert ist 30, auch wenn der Wert nicht vorhanden ist.

Das selbst gesetzte Kennwort hat eine Länge von 240 Zeichen und ist stark verschlüsselt. Außerdem besteht das Kennwort aus verschiedenen Zeichen, lässt sich also nicht erraten oder hacken. Die virtuellen Konten ermöglichen es, dass Dienste mit den Anmeldeinformationen des Computerkontos auf Netzwerkressourcen zugreifen dürfen. Virtuelle Konten liegen nicht in der Domäne sondern auf dem lokalen Rechner und der Account nutzt dazu das lokale Computerkonto. Für den Zugriff auf Netzwerkressourcen verwenden Sie am besten verwaltete Dienstkonten. In der Verwaltungskonsole "Active Directory-Benutzer und -Computer" finden Sie eine neue OU mit der Bezeichnung "Managed Service Accounts". Diese OU ist für die Verwaltung der verwalteten Dienstkonten von zentraler Bedeutung. Verwaltete Dienstkonten lassen sich so nutzen wie die standardmäßig vorhandenen Benutzer.

                                                Seite 1 von 2                     Nächste Seite>>

Thomas Joos/jp/ln