Seite 2 - Managed Service Accounts: Verwaltete Dienstkonten

Lesezeit
2 Minuten
Bis jetzt gelesen

Seite 2 - Managed Service Accounts: Verwaltete Dienstkonten

13.08.2012 - 00:00
Veröffentlicht in:

Verwaltete Dienstkonten produktiv einsetzen
Sie legen die Dienstkonten am besten über die PowerShell, genauer gesagt über das Active Directory-Modul der Power-Shell mit dem Cmdlet new-ADServiceAccount "NameAccount" an. Der Ablauf bei der Verwendung von Managed Service Accounts ist:Sie legen das verwaltete Dienstkonto im Active Directory an.

  1. Sie verbinden das Konto mit einem einzelnen Computerkonto. Auf dem Computer muss dazu Windows Server 2008 R2 oder Windows 7 installiert sein.
  2. Sie installieren das verwaltete Benutzerkonto auf dem Computer.
  3. Sie passen die Systemdienste auf dem lokalen Computer an, um das neue Konto zu nutzen.

Damit Sie Cmdlets zum Anlegen von neuen verwalteten Dienstkonten nutzen können, müssen Sie entweder direkt das Active Directory-Modul für Windows PowerShell starten, oder Sie laden in einer normalen PowerShell-Sitzung mit import-module ActiveDirectory die entsprechenden Befehle. Ein Beispiel für ein Dienstkonto wäre:

New-ADServiceAccount -Name x2k10 
-Path "CN=Managed Service Accounts,
DC=contoso,DC=com"

Hierbei legen Sie ein neues verwaltetes Dienstkonto mit der Bezeichnung x2k10 in der OU "Managed Service Accounts" in der Domäne contoso.com an. Mit dem folgenden Befehl aktivieren Sie das Dienstkonto auch gleich:

New-ADServiceAccount -Name 
{Beliebiger einzigartiger Name} 
-Enabled $true

Als Nächstes verbinden Sie das erstellte verwaltete Dienstkonto mit einem Computerkonto im Active Directory. Dazu nutzen Sie den Befehl

Add-ADComputerServiceAccount -Identity {Zielcomputer} -ServiceAccount {Erstelltes Dienstkonto}

Nachdem Sie das Dienstkonto angelegt und zugewiesen haben, installieren Sie es mit dem beschriebenen Cmdlet auf dem Server. Mit dem Befehl get-adsserviceaccount und dem Filter "*" lassen Sie sich das installierte Dienstkonto auf dem lokalen Server anzeigen. Auf dem Anwendungsserver, auf dem Sie das verwaltete Dienstkonto einsetzen, verwenden Sie das Cmdlet Install-ADServiceAccount {Name des Accounts}, um das Konto auf dem Server zu installieren. Auf dem Server muss dazu das Active Directory-Modul für Windows PowerShell installiert sein, sowie das .NET-Framework 3.5. Das Modul für die PowerShell installieren Sie als Feature der Remote Server Administration Tools (RSAT). Diese stehen auch für Windows 7 zur Verfügung.


Bild 3: Anlegen eines verwalteten Dienstkontos

Nachdem Sie das Dienstkonto erstellt, zugewiesen, auf dem entsprechenden Server das Active Directory-Modul für Windows PowerShell installiert und gestartet haben, installieren Sie das verwaltete Dienstkonto mit dem Befehl Install-ADServiceAccount {Name des Accounts}. Installieren kann jeder lokaler Adminstrator das Konto, aber die Verwaltung des Kontos im Active Directory obliegt dem Domänen-Admin. Mit den folgenden Befehlen erhalten Sie eine ausführliche Hilfe für das Anlegen von verwalteten Dienstkonten:

Get-Help New-ADServiceAccount -detailed
Get-Help Get-ADServiceAccount-detailed
Get-Help add-ADServiceAccount -detailed
Get-Help remove-ADServiceAccount -detailed
Get-Help Set-ADServiceAccount

Ausführliche Informationen zur Syntax der genannten Befehle finden Sie unter [1]. Um das Kennwort eines verwalteten Dienstkontos zurückzusetzen, verwenden Sie das Cmdlet Reset-ADServiceAccountPassword {Name des Kontos}.

An dieser Stelle können Sie die Eigenschaften der Dienstkonten ändern, die das neue Benutzerkonto des verwalteten Dienstkontos verwenden sollen:

  1. Rufen Sie dazu über services.msc die Verwaltung der Dienste auf und dann die Eigenschaften des jeweiligen Dienstes.
  2. Wechseln Sie auf die Registerkarte "Anmelden".
  3. Aktivieren Sie die Option "Dieses Konto".
  4. Wählen Sie das verwaltete Dienstkonto in der Domäne aus.
  5. Löschen Sie das Kennwort. In diesem Feld müssen sich keine Daten befinden, diese werden im Hintergrund durch das Active Directory gepflegt.
  6. Bestätigen Sie die Eingabe.
  7. Lassen Sie den Dienst neu starten.

In der PowerShell steuern Sie keine Gruppenmitgliedschaften des Dienstkontos. Diese Mitgliedschaften müssen Sie manuell im Snap-In Active Directory-Benutzer und -Computer vornehmen. Achten Sie auch darauf, dass das verwaltete Dienstkonto für die Verwendung aktiviert werden muss. Zum Löschen eines verwalteten Dienstkontos auf einem Server, verwenden Sie das Cmdlet Remove-ADComputerServiceAccount -identity {Name des Dienstes}.


 

  <<Vorherige Seite                Seite 2 von 2

 

 

 


Thomas Joos/jp/ln

[1] http://technet.microsoft.com/en-us/library/ee617195.aspx

 

 

 

Ähnliche Beiträge

Schubladensysteme als Alternative zu klassischen Servergehäusen

Schubladensysteme spielen eine wichtige Rolle bei der Organisation und Effizienz von Rechenzentren. Sie bieten eine kompakte, zugängliche und sichere Aufbewahrungsmöglichkeit für Server, Netzwerkgeräte, Kabel und Zubehör. Bei ihrem Einsatz geht es jedoch nicht nur um eine geordnete Verkabelung oder die optimale Unterbringung von Geräten. Schubladensysteme sind ebenso ein wichtiger Faktor für Kühlung, Stabilität, Wartung und Energieeinsparung.

Im Test: Heimdal Patch & Asset Management

Ein zeitgemäßes Patchmanagement darf sich angesichts der vielfältigen Bedrohungen nicht allein auf die Microsoft-Produkte konzentrieren, sondern muss sich auch verbreiteten Drittanbieteranwendungen widmen. Der dänische Anbieter Heimdal Security geht noch einen Schritt weiter und hat eine ganze Suite zum Schutz vor Cyberbedrohungen im Programm. Mit dem Fokus auf das Patchen haben wir uns das cloudbasierte Angebot genauer angesehen.

Device-Management mit Microsoft Intune und Office 365 - Zwei Wege, ein Ziel

Um Geräte im Netzwerk oder mobile Geräte, die auf das Netzwerk zugreifen, zu verwalten, bietet sich für Unternehmen entweder Office 365 Mobile Device Management oder Microsoft Intune an. Ein Unterschied zwischen den beiden Lösungen besteht vor allem im Preis. Während das Device-Management zu vielen Abonnements in Office 365 gehört, muss Microsoft Intune gesondert abonniert werden. In diesem Beitrag stellen wir beide Ansätze vor.