Seite 2 - Managed Service Accounts: Verwaltete Dienstkonten
Verwaltete Dienstkonten produktiv einsetzen
Sie legen die Dienstkonten am besten über die PowerShell, genauer gesagt über das Active Directory-Modul der Power-Shell mit dem Cmdlet new-ADServiceAccount "NameAccount" an. Der Ablauf bei der Verwendung von Managed Service Accounts ist:Sie legen das verwaltete Dienstkonto im Active Directory an.
- Sie verbinden das Konto mit einem einzelnen Computerkonto. Auf dem Computer muss dazu Windows Server 2008 R2 oder Windows 7 installiert sein.
- Sie installieren das verwaltete Benutzerkonto auf dem Computer.
- Sie passen die Systemdienste auf dem lokalen Computer an, um das neue Konto zu nutzen.
Damit Sie Cmdlets zum Anlegen von neuen verwalteten Dienstkonten nutzen können, müssen Sie entweder direkt das Active Directory-Modul für Windows PowerShell starten, oder Sie laden in einer normalen PowerShell-Sitzung mit import-module ActiveDirectory die entsprechenden Befehle. Ein Beispiel für ein Dienstkonto wäre:
New-ADServiceAccount -Name x2k10 -Path "CN=Managed Service Accounts, DC=contoso,DC=com"
Hierbei legen Sie ein neues verwaltetes Dienstkonto mit der Bezeichnung x2k10 in der OU "Managed Service Accounts" in der Domäne contoso.com an. Mit dem folgenden Befehl aktivieren Sie das Dienstkonto auch gleich:
New-ADServiceAccount -Name {Beliebiger einzigartiger Name} -Enabled $true
Als Nächstes verbinden Sie das erstellte verwaltete Dienstkonto mit einem Computerkonto im Active Directory. Dazu nutzen Sie den Befehl
Add-ADComputerServiceAccount -Identity {Zielcomputer} -ServiceAccount {Erstelltes Dienstkonto}
Nachdem Sie das Dienstkonto angelegt und zugewiesen haben, installieren Sie es mit dem beschriebenen Cmdlet auf dem Server. Mit dem Befehl get-adsserviceaccount und dem Filter "*" lassen Sie sich das installierte Dienstkonto auf dem lokalen Server anzeigen. Auf dem Anwendungsserver, auf dem Sie das verwaltete Dienstkonto einsetzen, verwenden Sie das Cmdlet Install-ADServiceAccount {Name des Accounts}, um das Konto auf dem Server zu installieren. Auf dem Server muss dazu das Active Directory-Modul für Windows PowerShell installiert sein, sowie das .NET-Framework 3.5. Das Modul für die PowerShell installieren Sie als Feature der Remote Server Administration Tools (RSAT). Diese stehen auch für Windows 7 zur Verfügung.
Bild 3: Anlegen eines verwalteten Dienstkontos
Nachdem Sie das Dienstkonto erstellt, zugewiesen, auf dem entsprechenden Server das Active Directory-Modul für Windows PowerShell installiert und gestartet haben, installieren Sie das verwaltete Dienstkonto mit dem Befehl Install-ADServiceAccount {Name des Accounts}. Installieren kann jeder lokaler Adminstrator das Konto, aber die Verwaltung des Kontos im Active Directory obliegt dem Domänen-Admin. Mit den folgenden Befehlen erhalten Sie eine ausführliche Hilfe für das Anlegen von verwalteten Dienstkonten:
Get-Help New-ADServiceAccount -detailed Get-Help Get-ADServiceAccount-detailed Get-Help add-ADServiceAccount -detailed Get-Help remove-ADServiceAccount -detailed Get-Help Set-ADServiceAccount
Ausführliche Informationen zur Syntax der genannten Befehle finden Sie unter [1]. Um das Kennwort eines verwalteten Dienstkontos zurückzusetzen, verwenden Sie das Cmdlet Reset-ADServiceAccountPassword {Name des Kontos}.
An dieser Stelle können Sie die Eigenschaften der Dienstkonten ändern, die das neue Benutzerkonto des verwalteten Dienstkontos verwenden sollen:
- Rufen Sie dazu über services.msc die Verwaltung der Dienste auf und dann die Eigenschaften des jeweiligen Dienstes.
- Wechseln Sie auf die Registerkarte "Anmelden".
- Aktivieren Sie die Option "Dieses Konto".
- Wählen Sie das verwaltete Dienstkonto in der Domäne aus.
- Löschen Sie das Kennwort. In diesem Feld müssen sich keine Daten befinden, diese werden im Hintergrund durch das Active Directory gepflegt.
- Bestätigen Sie die Eingabe.
- Lassen Sie den Dienst neu starten.
In der PowerShell steuern Sie keine Gruppenmitgliedschaften des Dienstkontos. Diese Mitgliedschaften müssen Sie manuell im Snap-In Active Directory-Benutzer und -Computer vornehmen. Achten Sie auch darauf, dass das verwaltete Dienstkonto für die Verwendung aktiviert werden muss. Zum Löschen eines verwalteten Dienstkontos auf einem Server, verwenden Sie das Cmdlet Remove-ADComputerServiceAccount -identity {Name des Dienstes}.
<<Vorherige Seite Seite 2 von 2
Thomas Joos/jp/ln
[1] http://technet.microsoft.com/en-us/library/ee617195.aspx