Contas de serviço gerenciadas em grupo: -PrincipalsAllowedToRetrieveManagedPassword

1

Portanto, a documentação para a criação de gMSAs diz que o parâmetro "-PrincipalsAllowedToRetrieveManagedPassword" deve restringir a capacidade de usar o gMSA para as máquinas que fazem parte dos grupos de segurança fornecidos no parâmetro. Por exemplo,

Novo-ADServiceAccount -name dev-service -DNSHostName dev-service -PrincipalsAllowedToRetrieveManagedPassword gMSA-dev-service-allowed-hosts

deve, pelo que entendi, permitir que apenas as máquinas que fazem parte do grupo de segurança "gMSA-dev-service-allowed-hosts" acessem a senha do dev-service da conta, limitando assim as máquinas que podem usar a conta.

O meu problema é que não consigo fazê-lo funcionar assim. Mesmo em uma máquina que não é membro de "gMSA-dev-service-allowed-hosts", a conta pode ser usada sem problemas.

Eu entendi errado o significado de -PrincipalsAllowedToRetrieveManagedPassword?

Obrigado

Melhor,

dsa

    
por dsa 18.05.2015 / 16:59

2 respostas

2

A definição de -PrincipalsAllowedToRetrieveManagedPassword restringe o uso de Install-ADServiceAccount , que é outra etapa que deve acontecer antes que você possa usar o gMSA. Depois que o gMSA for instalado, o serviço será iniciado independentemente da configuração de PrincipalsAllowed até que a senha gerenciada seja alterada .

Qualquer computador que use o gMSA que não esteja incluído nas entidades do PrincipalsAllowed não poderá alterar a senha gerenciada nem poderá recuperar uma senha gerenciada do domínio após a alteração. Se a senha gerenciada pelo gMSA tiver sido alterada por um computador que tenha os privilégios para fazer isso, isso causará falhas de logon em serviços executados em computadores que não estejam nas entidades PrincipalsAllowed.

Você deve garantir que todos os computadores que executam serviços usando um gMSA específico sejam incluídos nas entidades do PrincipalsAllowed para esse gMSA, ou causará problemas ao iniciar / reiniciar serviços no final da linha (um mês depois, como as alterações de senha gerenciadas padrão estão agendadas para 30 dias).

link

Notas Para instalar com êxito uma conta de serviço gerenciada, a conta de serviço deve ter a opção de parâmetro PrincipalsAllowedToRetrieveManagedPassword definida primeiro usando o cmdlet New-ADServiceAccount ou Set-ADServiceAccount primeiro. Caso contrário, a instalação falhará.

Por exemplo,

# Running this on APPSERVER1

$appServer1 = Get-ADComputer APPSERVER1
$appServer2 = Get-ADComputer APPSERVER2

$gMSA = New-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 -DnsHostName 'APP1'

Install-ADServiceAccount 'APP1'
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount 'APP1'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : WriteError: (APP1:String) [Install-ADServiceAccount], ADException
    + FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount

Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer1

Install-ADServiceAccount 'APP1'

O último comando será bem sucedido. Depois de configurar as credenciais de serviço, o serviço será iniciado.

Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2

Agora, reiniciar o serviço ainda funcionará. No entanto, se você executar um Uninstall-ADServiceAccount e tentar reinstalá-lo, receberá o mesmo erro mostrado acima.

Iniciar o serviço também falhará com uma falha de logon se a senha foi alterada por APPSERVER2 nesse meio tempo.

    
por 02.03.2016 / 15:17
-2

Certifique-se de examinar a saída do seguinte:

Test-ADServiceAccount dev-service
    
por 06.10.2015 / 22:45