Comptes de service gérés de groupe (GMSA – Comptes de services gérés de groupe) est une version avancée de Managed Service Accounts (MSA), une fonctionnalité de Microsoft Active Directory (AD).
Dans le monde technologique en évolution rapide d’aujourd’hui, la sécurité est plus que jamais une priorité. Voici les comptes de service gérés de groupe (GMSA – Comptes de services gérés de groupe) se distingue comme une solution innovante proposée par Microsoft Active Directory pour combler les lacunes critiques en matière de sécurité réseau. GMSAsont conçus pour répondre aux besoins avancés de sécurité et d'automatisation, offrant ainsi des avantages significatifs aux professionnels de l'informatique.
Cette fonctionnalité a été la première Windows Server 2012Il a été introduit en . GMSAsont conçus spécifiquement pour les services et applications qui nécessitent une gestion automatique et sécurisée des mots de passe. Conçus pour les services exécutés sur le réseau, ces comptes sont particulièrement utiles lorsque les services doivent s'exécuter avec un équilibrage de charge sur plusieurs serveurs.
Qu’est-ce que le gMSA ?
GMSA (Comptes de service gérés de groupe) est un type de compte que Microsoft a développé en ajoutant une étape supplémentaire aux comptes de service gérés (MSA). Windows Server 2012 Ces comptes, qui sont apparus dans nos vies avec , sont conçus pour garantir que les services et les applications fonctionnent de manière sécurisée et fluide sur plusieurs serveurs.
Avantages GMSA
- Gestion automatique des mots de passe : GMSALe plus grand avantage de est peut-être le changement automatique du mot de passe. Alors que les comptes de service traditionnels nécessitent des mises à jour manuelles des mots de passe à intervalles réguliers, GMSANous automatisons complètement ce processus. Active Directory crée des mots de passe forts pour ces comptes et les modifie périodiquement. Cette fonctionnalité élimine les erreurs humaines et réduit le risque de failles de sécurité.
- Utilisation de plusieurs serveurs : GMSA'permettent d'utiliser un compte sur plusieurs serveurs. Ceci est idéal pour les applications dotées de fonctionnalités d’évolutivité et d’équilibrage de charge. La possibilité de se connecter à plusieurs instances d'un compte est une solution parfaite pour les grands systèmes distribués.
- Administration centrale : Tous les GMSA peuvent être gérés de manière centralisée via Active Directory. Cela permet aux services informatiques de contrôler, surveiller et rendre compte des comptes plus efficacement. La gestion centralisée offre également des opportunités plus larges de gestion et d’automatisation basées sur des règles.
- Gestion des SPN: dans les environnements AD avec gMSA SPN (noms principaux de service) la gestion devient plus utile.
Exigences gMSA
Comptes de service gérés de groupe Certaines conditions préalables doivent être remplies pour utiliser (GMSA). Ces exigences sont importantes pour garantir que les GMSA fonctionnent et sont gérées correctement :
- Infrastructure Active Directory: Les GMSA sont pris en charge par les services de domaine Active Directory (AD DS). Par conséquent, vous devez disposer d’une forêt et d’un domaine Active Directory.
- Édition Windows Serveur: Pour créer et gérer des GMSA, vous avez besoin d'un contrôleur de domaine exécutant au moins Windows Server 2012 ou une version ultérieure du niveau forêt.
- De nouveaux attributs ont été ajoutés pour gMSA fourni avec Server 2012 :
- msDS-GroupMSAMembrement
- msDS-ManagedPassword
- msDS-ManagedPasswordInterval
- msDS-ManagedPasswordID
- msDS-ManagedPasswordPreviousID
- Exigences du schéma: Le schéma Active Directory doit être mis à jour pour prendre en charge les GMSA. Les mises à jour de schéma fournies avec Windows Server 2012 ou version ultérieure sont requises.
- Clé racine KDS: Il est nécessaire d'installer la clé racine du service de distribution de clés (KDS), qui est utilisée pour créer des mots de passe pour les comptes de service gérés de groupe. À partir de Windows Server 2012, cette clé est automatiquement créée dans AD DS.
- PowerShell: Les applets de commande PowerShell sont utilisées pour gérer les GMSA, il est donc important de se familiariser avec ces applets de commande et de pouvoir les utiliser.
Comptes de service gérés de groupe Comment créer (gMSA) ?
Les comptes de service gérés de groupe (GMSA) sont une technologie qui simplifie et renforce ces protocoles. La création de GMSA permet aux organisations d’exploiter leurs services en toute sécurité.
1. Remplir les prérequis : Avant de créer GMSA, assurez-vous que votre schéma Active Directory est à jour et que la clé racine KDS requise est présente. De plus, vous devez avoir accès à un compte d'administrateur de domaine.
Création de la clé racine KDS : S'il n'a pas encore été créé, Service de distribution de clésVous devez créer une clé racine pour s. Cela peut être fait en utilisant PowerShell avec cette applet de commande :
Dans des circonstances normales, vous devez attendre 10 heures pour obtenir la clé racine KDS. Pour cet article, nous utiliserons la commande qui prend effet immédiatement.
Add-KDSRootKey –EffectiveTime (Get-Date).AddHours(-10)
gMSA Créer un groupe pour : gMSA Nous devons créer un groupe pour les comptes d'ordinateurs qui utiliseront le compte. Nous pouvons le faire avec Powershell ou ADUC vous pouvez utiliser.
Utilisateurs et ordinateurs Active Directory (ADUC) Nous faisons un clic droit sur l’UO où nous allons créer un groupe et suivons les étapes Nouveau – Groupe. Le groupe que nous créerons sera Global Security.
Ensuite, nous devons créer les comptes d'ordinateur à utiliser comme membres du groupe à partir de la section Membres.
Création d'un groupe de sécurité avec Powershell :
New-ADGroup -DisplayName GMSAGruopDisplayName -GroupScope Global -GroupCategory Security -Name GMSAGroupName
Étape pour ajouter un membre du groupe avec Powershell :
Add-ADGroupMember -Identity GMSAGroupName -Members "Eklenmesi Gereken Bilgisayar"
Création de GMSA : Pour créer une GMSA, Nouveau-ADServiceAccount Nous utiliserons l'applet de commande PowerShell.
New-ADServiceAccount -Name GMSA_Adi -DNSHostName GMSA.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "GrupAdi"
Cette commande crée un GMSA dans lequel un groupe spécifique de serveurs est autorisé à récupérer le mot de passe.
Lorsque nous ouvrons la section Comptes de service gérés dans la section Utilisateurs et ordinateurs Active Directory, nous pouvons voir le compte gMSA que nous avons créé.
Présentation du compte gMSA sur le serveur:
Pour utiliser GMSA sur un serveur, vous devez d'abord ajouter le compte à ce serveur. Install-ADServiceAccount Vous pouvez effectuer cette opération avec l'applet de commande, et le serveur concerné pour cette opération est également Le module Active Directory Powershell doit être installé.
Vous pouvez exécuter la commande suivante sur Powershell pour installer le module Active Directory Powershell.
Add-WindowsFeature RSAT-AD-PowerShell
Utiliser GMSA sur un serveur : Pour utiliser GMSA sur un serveur, vous devez d'abord ajouter le compte à ce serveur. Install-ADServiceAccount Vous pouvez effectuer cette opération avec l'applet de commande :
Install-ADServiceAccount GMSA_Adi
Vous pouvez utiliser la commande ci-dessous pour tester si celle que vous avez installée est installée ou non.
Test-ADServiceAccount GMSA_Adi