Rechercher dans ce blog

mardi 4 décembre 2018

Mise en place de comptes gMSA

Bonjour à tous, nouvel article sur la mise en place de comptes gMSA.

Habituellement, nous utilisons tous des comptes de services avec mots de passe.
Qui dit mot de passe dit problème potentiel de piratage, sachant que les mots de passe des comptes de services ne sont en règle générale jamais changés car cela demande beaucoup de temps.
Pour pallier ces problèmes de mot de passe sur les comptes de services, Microsoft a d'abord sorti les comptes MSA avec Windows 2008.

Les gMSAGroup Managed Service Accounts ») sont ensuite apparus avec Windows Server 2012, lesquels sont une amélioration des comptes MSA permettant l’utilisation d’un compte sur un seul et unique ordinateur. 

Les comptes MSA ne permettaient pas d'utiliser un seul compte pour plusieurs ordinateurs.
Les comptes MSA n'étaient supportés que pour quelques applications.

gMSA est un compte de service associé à un groupe de sécurité dans lequel seront ajoutés les ordinateurs autorisés à utiliser ce compte.

Les comptes gMSA sont compatibles avec les applications ci-dessous:


  • Sur plusieurs machines
  • Pour des tâches planifiées
  • Pour IIS, ADFS, SQL Server, …
  • Pour des services Windows
Pour pouvoir créer des comptes gMSA, il faudra générer la clé racine KDS  de Distribution de clés Services.

Pour cela, lancer une console PowerShell et exécuter le code PowerShell ci-dessous:



Cette clé sera ensuite répliquée sur l'ensemble des contrôleurs de domaine. Par sécurité, il est nécessaire d'attendre 10H pour s'assurer que tout soit bien répliqué.

Nous allons maintenant pouvoir créer nos gMSA.

Deux possibilités pour créer ces comptes:

  • Avec l'outil graphique "Managed service accounts GUI" téléchargeable ici.
  • PowerShell

Managed service accounts GUI:

Il vous suffit simplement d'ajouter le nouveau compte avec "New"
Donnez-lui un nom et choisissez l'OU dans votre active directory où vous souhaitez le stocker.
















Votre compte est maintenant créé.


















Pour que ce compte fonctionne, il faudra l'attribuer à l'ordinateur autorisé à l'utiliser.


















Le compte gMSA peut maintenant être utilisé sur le serveur.


















On va également vérifier la présence du compte dans l'active directory











PowerShell:

 Idem en PowerShell, mais dans cet exemple, nous allons attribuer un groupe d'ordinateurs au compte gMSA.













Sur notre serveur autorisé à utiliser notre compte gMSA , nous allons enfin configurer le service concerné (dans notre exemple un service "SQL").

















Dans cet article, nous avons pu voir la mise en place de comptes gMSA qui apportent beaucoup plus de sécurité qu'un compte de service avec mot de passe.

Je vous dis à très bientôt.

Publié par à
Libellés :

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)