Group Managed Service Accounts por serviço por servidor (Best practice?) e nomes longos?

1

Conversei com alguns colegas sobre qual seria a melhor prática para usar contas de serviço gerenciado por grupo em nosso ambiente.

Parece que, idealmente, criamos 1 gMSA por serviço (por exemplo, serviço do SQL Agent) por servidor (por exemplo, SQLDEV01).

Isso permitiria a separação máxima de preocupações, de modo que, se houver qualquer problema com qualquer conta de serviço (comprometida, excluída, bloqueada, corrompida etc.), isso afetaria apenas o único serviço e o único servidor ao qual está associada.

Um dos únicos contras dessa abordagem é que pode haver MUITOS gMSAs para criar. Mas com isso dito, uma vez que eles são criados, não há muita necessidade de gerenciá-los no futuro.

O outro problema que estou enfrentando é o de nomear o gMSA (acredito que deve ter 15 caracteres ou menos). Parece extremamente difícil encontrar um nome que indique que a conta é gMSA, é para um serviço específico e para um servidor específico.

Por exemplo, um nome genérico seguindo as convenções típicas pode parecer:

  • gMSA_SQLDEV01_SQLAGT (20 caracteres)

Poderia ser encurtado para algo como:

  • gmsaSQLDEV01AGT (15 caracteres)

O exemplo acima tem exatamente 15 caracteres, sem espaço de sobra para outros nomes de servidor ou serviço potencialmente mais longos.

Existe alguma prática recomendada ou formas de lidar com essas situações:

  1. agrupar contas de serviço gerenciado com separação de interesses?
  2. agrupar contas de serviço gerenciado com nomes longos?
por Michael 20.04.2017 / 03:47

1 resposta

1

O aspecto da separação de interesses dependerá em grande parte do seu ambiente e da dificuldade de separar as coisas versus a simplicidade de compartilhar contas em determinados cenários. Quero dizer, uma das principais características dos gMSAs sobre os MSAs originais é que eles podem ser usados por mais de um sistema.

Em relação aos nomes longos ...

Você pode liberar espaço facilmente, sem atribuir um prefixo como gmsa . Embora compartilhe muitas classes comuns no atributo objectClass relacionadas a contas de usuário normais, ele também contém uma única chamada msDS-GroupManagedServiceAccount , o que facilita o uso em filtros nos quais você deseja incluí-los ou excluí-los. Os gMSAs também são visualmente distintos em ferramentas GUI, como ADUC e similares. Então, hipoteticamente, as pessoas não vão confundi-las com contas de usuário normais em atividades do dia-a-dia.

Eu também notei outra coisa enquanto brincava com isso. Mesmo que o cmdlet New-ADServiceAccount imponha um limite de 15 caracteres para -SamAccountName , criar um objeto msDS-GroupManagedServiceAccount manualmente com o ADSIEdit impõe apenas um limite de 20 caracteres.

Eu não cheguei a testar meu gMSA de 20 caracteres com nada. Então eu não tenho idéia se realmente funciona com qualquer coisa. Mas provavelmente vale mais testes de sua parte se você quiser mais espaço para respirar em sua convenção de nomenclatura.

    
por 20.04.2017 / 05:52