Comptes et groupes de services : VSA/MSA/gMSA

Documents pareils
Mise en place d un cluster NLB (v1.12)

Migration d un domaine Active Directory 2003 R2 vers 2008 R2 (v2)

Installation de SCCM 2012 (v2)

Tout sur les relations d approbations (v2)

Solutions de conversion P2V et V2V (v2.1)

Déploiement automatisé de Windows Seven via le WAIK

Le cluster à basculement

Recycle Bin (Corbeille Active directory)

Installation et configuration de Windows Deployment Service (v3.1)

Installation et configuration de SQL Server 2008 R2 (v3)

Introduction. Littéralement : «Services de gestion des droits liés à l Active Directory» ADRMS Windows Serveur 2008 un nouveau rôle

P R O J E T P E R S O N N A L I S E E N C A D R E

Chapitre 1 Windows Server

SQL Server Installation Center et SQL Server Management Studio

Windows Server 2012 Administration avancée

Guide d installation BiBOARD

INSTALLATION et déploiement de Microsoft Dynamics CRM Ref : 80539

vsphere 5 TP2 La virtualisation avec VMware CNFETP F. GANGNEUX technologie GANGNEUX F. 17/12/2012

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

UserLock Quoi de neuf dans UserLock? Version 6

Windows Server 2012 R2

Windows Server 2012 R2 Administration avancée - 2 Tomes

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Guide de l utilisateur. Synchronisation de l Active Directory

Windows Serveur 2008 R2

Table des matières. Chapitre 1 Les architectures TSE en entreprise

MS Dynamics CRM Installation et déploiement Mettre en œuvre la solution (M80539)

Hyper-V Virtualisation de serveurs avec Windows Server 2008 R2 - Préparation à l'examen MCTS

Procédure d'installation complète de Click&Decide sur un serveur

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Installation de SharePoint Foundation 2013 sur Windows 2012

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

Déploiement de SAS Foundation

PROJET PERSONNALISÉ ENCADRÉ : N 6

Installation et configuration des sauvegardes Windows Server sur 2008 R Sommaire

Services RDS de Windows Server 2012 R2 Remote Desktop Services : Installation et administration

Exchange Server 2013 Préparation à la certification MCSE Messaging - Examen

Formateur : Franck DUBOIS

Plan de formation 80623A Installation et Déploiment dans Microsoft Dynamics CRM 2013

Introduction à LDAP et à Active Directory Étude de cas... 37

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft

2013 Microsoft Exchange 2007 OLIVIER D.

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage [2ième édition]

Installation de Windows 2012 Serveur

Guide de migration BiBOARD V10 -> v11

GPI Gestion pédagogique intégrée

Sécurisation d une application ASP.NET

Description. Lorsque vous essayez d activer, désactiver ou mettre à jour la technologie Hyper V, le processus cesse de répondre.

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Pré-requis pour les serveurs Windows 2003, Windows 2008 R2 et Windows 2012

OPTENET DCAgent Manuel d'utilisateur

Hyper-V et SC Virtual Machine Manager sous Windows Server 2008 R2

INSTALLATION DES SERVICES DE DOMAINE ACTIVE DIRECTORY Windows Server 2008 R2

METIERS DU MARKETING ET DE LA COMMUNICATION

Préparation d un serveur Apache pour Zend Framework

VMware View Virtualisation des postes de travail (architecture, déploiement, bonnes pratiques...)

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole :


Installation de GFI FAXmaker

Renommer un contrôleur de Domaine Active Directory Sous Windows Server 2008 R2

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

Exchange 2007 : Améliorations et nouvelles fonctionnalités Atelier 136. Société GRICS

Dynamic Computing Services solution de backup. White Paper Stefan Ruckstuhl

Comment changer le mot de passe NT pour les comptes de service Exchange et Unity

Exchange Server 2010 Exploitation d'une plateforme de messagerie

SCOM 2012 (System Center Operations Manager) De l'installation à l'exploitation, mise en oeuvre et bonnes pratiques

Table des matières 1. Avant-propos. Chapitre 1 Virtualisation du poste de travail

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

Services RDS de Windows Server 2008 R2

Pré requis Microsoft Windows Server 2008

Microsoft web framework

Cluster High Availability. Holger Hennig, HA-Cluster Specialist

Chapitre 2 Rôles et fonctionnalités

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2

Installation et configuration du logiciel BauBit

FORMATION WS0801. Centre de formation agréé

Fiche Technique. Cisco Security Agent

UserLock Quoi de neuf dans UserLock? Version 8.5

Le Ro le Hyper V Troisie me Partie Haute disponibilite des machines virtuelles

AD FS avec Office 365 Guide d'installation e tape par e tape

Procédure d installation de la Sauvegarde de Windows Server

Service d'annuaire Active Directory

Mise en œuvre des Services Bureau à distance

Plan de cette matinée

Authentification unique Eurécia

Introduction CONTENU EN LIGNE

Dix raisons de passer à WINDOWS SERVEUR 2008

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server

Chapitre 01 Généralités

IIS, c est quoi? Installation de IIS Gestion de base de IIS Méthodes d authentification. Edy Joachim,

Installation de GFI MailEssentials

Server 2008 Active Directory Délégation de contrôle

Déploiement, administration et configuration

Automatiser la création de comptes utilisateurs Active Directory


Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Windows Server 2012 R2

Configurer le pare-feu de Windows XP SP2 pour WinReporter

Configurer le pare-feu de Windows XP SP2/Vista pour UserLock

Installer et configurer un serveur Exchange

Transcription:

Comptes et groupes de services : VSA/MSA/gMSA (v2.04) Tutorial conçu et rédigé par Michel de CREVOISIER Février 2014 SOURCES Sécurité des comptes : http://technet.microsoft.com/en-us/library/hh852236(v=wps.620).aspx http://technet.microsoft.com/fr-fr/library/dd367859%28v=ws.10%29.aspx http://blogs.technet.com/b/askds/archive/2009/09/10/managed-service-accounts-understandingimplementing-best-practices-and-troubleshooting.aspx Groupes gmsa : http://technet.microsoft.com/en-us/library/jj128431.aspx http://blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managedservice-accounts.aspx http://joedantoni.wordpress.com/2012/12/14/group-managed-service-accounts/ SQL Server Agent account http://technet.microsoft.com/en-us/library/ms191543.aspx 1

INDEX SOURCES... 1 INDEX... 2 1. Introduction... 3 2. Managed Service Account (MSA)... 4 2.1 Présentation... 4 2.2 Mise en place... 4 3. Virtual Service Account (VSA)... 7 3.1 Présentation... 7 3.2 Utilisation... 7 4. Groupes de services administrés (gmsa)... 8 4.1 Présentation... 8 4.2 Mise en place... 8 5. Outils... 10 5.1 Outils PowerShell... 10 5.2 Console GUI... 10 Conclusion... 11 2

1. Introduction Face à un besoin croissant concernant la sécurisation des applications réseau stratégiques (telles que SQL Server, Exchange, IIS, ) et avec la sortie de Windows Server 2008 R2 et Windows 7, deux nouveaux types de comptes ont été introduits : les VSA (Virtual Service Account) et les MSA (Managed Service Account). Ceux-ci permettent d une part de s affranchir de la gestion complexe des mots de passe (blocage, expiration, renouvellement, ) et d autre part de réduire les opérations de maintenance, souvent considérées comme fastidieuses et complexes. Grâce à ces derniers : Vous disposerez d une nouvelle classe de comptes dédiées aux services Vous n aurez plus à vous soucier du renouvellement ou de l expiration des mots de passe étant donné qu ils sont automatiquement renouvelés Vous pourrez déléguer l administration de ces comptes à des non administrateurs Note concernant SQL Server 2008 R2 ou supérieur : si vous faites appel à des MSA ou à des VSA, sachez qu ils ne peuvent pas être utilisés pour des instances en cluster étant donné que chacun d entre eux dispose d un SID différent. 3

2. Managed Service Account (MSA) 2.1 Présentation Un MSA est un compte de domaine spécialement assigné à un seul et unique ordinateur, et conçu pour exécuter un service. Il ne peut cependant pas être utilisé pour se connecter à un ordinateur. En résumé, il s agit d un compte administré par le contrôleur de domaine et incapable d ouvrir une session localement. Sa composition est {DOMAIN}\{Service account}$ et les mots de passes générés possèdent une structure de 240 bytes, soit 120 caractères plus une chaine cryptographique aléatoire. 2.1.1 Applications supportées Les technologies suivantes sont supportées pour utiliser des comptes MSA : Service Windows : oui Exchange : oui (pour l envoi de mail) mais configuration supplémentaire requise IIS : oui, pour les pools d application SQL Server : oui, mais uniquement à partir de SQL Server 2012 2.1.2 Prérequis Pour mettre en place des MSA, vous devez valider les prérequis suivants : Schéma en version supérieure ou égale à Server 2008 R2 o Un schéma en version 2008 toutefois être utilisé 8 mais la gestion des SPN ne sera pas prise en compte Installer le compte sur une version supérieure ou égale à Server 2008 R2 ou Windows 7 Installation les commandes PowerShell pour Active Directory côté serveur et client (point 5.1) Installer le Framework 3.5 2.1.3 Limitations Les MSA possèdent toutefois certaines limitations. De ce fait, ils ne peuvent pas être utilisés sur : De multiples ordinateurs Des nœuds en cluster Un système de load-balancing (NLB) pour des serveurs web utilisant Kerberos Une tâche planifiée 2.2 Mise en place 2.2.1 Création d un MSA ############## Variable ############## Import-Module ActiveDirectory $MSA_account="MSA_Account" #Account name $MSA_description="For Service X" #Description $DomainFullName="domaine.com" #Full domain name $Encryption="AES256" #Choose between RC4, AES128 or AES256 $TargetComputer="SRV-SQL" #Target computer to link with the MSA account New-ADServiceAccount $MSA_account -Enabled $true -RestrictToSingleComputer - KerberosEncryptionType $Encryption -Description $MSA_description 4

Après quoi, vous pouvez constater la création du MSA dans l OU Managed Service Account : De la même façon, vous pouvez consulter ses propriétés via la commande suivante : Get-AdServiceAccount identity $MSAaccount 2.2.2 Association du compte Il faut ensuite associer le MSA créé avec l ordinateur sur lequel il sera utilisé : ############## 2-Associate acccount with target computer ############## Add-ADComputerServiceAccount -Identity $TargetComputer -ServiceAccount $MSA_account 2.2.3 Installation du compte Pour terminer, installez ce compte de service sur l ordinateur cible. Pour cela, placez-vous sur la machine allant utiliser ce compte et exécutez la commande suivante : ############## 3-Install account on target computer ############## Import-Module ActiveDirectory Install-AdServiceAccount -identity $MSA_account 2.2.4 Configuration du compte avec un service Nous allons maintenant configurer ce compte pour être utilisé par une instance SQL : Ouvrez la console SQL Server Configuration Manager et accédez à la propriété Log On du service en question : 5

Dans la console de recherche, modifiez l Object types afin de faire apparaître les comptes de service : Laissez le mot de passe en blanc (il sera automatiquement rempli) et redémarrez votre service : 6

3. Virtual Service Account (VSA) 3.1 Présentation Le VSA est un compte géré localement qui fournit des fonctionnalités permettant de faciliter l administration des services. Son format est NT SERVICE\{SERVICE NAME}. Ce type de compte peut accéder aux ressources du réseau mais il devra pour cela s authentifier avec les credentials du compte ordinateur de type {DOMAIN}\{COMPUTER}$. Si un VSA est utilisé pour un service, le mot de passe devra être laissé en blanc. 3.2 Utilisation Les VSA sont utilisés depuis IIS 7.0 (compte «IIS AppPool\DefaultAppPool» par exemple) et dans SQL Server 2012 si les paramètres par défaut sont utilisés. 7

4. Groupes de services administrés (gmsa) 4.1 Présentation Les gmsa («Group Managed Service Accounts») sont apparus avec Windows Server 2012 afin de pallier un des problèmes majeur des comptes MSA, à savoir l utilisation d un compte sur un seul et unique ordinateur. De ce fait, il était par exemple impossible d utiliser un même compte MSA sur un cluster SQL. Il fallait donc soit utiliser un compte de service pour chaque serveur, soit créer un ou plusieurs comptes de domaine pour la ferme de serveur. Grâce au gmsa, cette restriction «1:1» a été supprimée, et il est dorénavant possible d utiliser un même compte sur plusieurs serveurs. On conviendra que cette nouveauté prend tout sens avec la technologie AAG introduite avec SQL Server 2012. Dans son fonctionnement, un gmsa est compte de service associé à groupe de sécurité dans lequel seront ajoutés les ordinateurs autorisés à utiliser ce compte. 4.1.1 Applications supportées Suite à toutes ces nouveautés, les gmsa peuvent donc être utilisés : Sur des hôtes multiples Pour des tâches planifiées Pour IIS, SQL Server 2012, Pour des services Windows 4.1.2 Prérequis Pour mettre en place des gmsa, vous devez valider les prérequis suivants : Disposer d un DC avec un schéma en version supérieure ou égale à Server 2012 Créer une clef racine KDS (détaillé à la suite) Installer le compte sur une version supérieure ou égale à Server 2012 ou Windows 8 Installation les commandes PowerShell pour Active Directory (point 5.1) Clef KDS : Les contrôleurs de domaine sous Windows Server 2012 requièrent une clef racine KDS pour la génération des mots de passes associées aux comptes gmsa. Après sa création, il est nécessaire d attendre 10h afin que la réplication entre les DC converge. Il s agit là d une mesure de sécurité afin de s assurer que tous les DC soient en mesure de répondre aux requêtes gmsa (source). 4.2 Mise en place 4.2.1 Configuration du KDS ############## Key Distribution Service (KDS) ############## Add-KDSRootKey EffectiveImmediately #On production environment - Takes up to 10h Add-KdsRootKey EffectiveTime ((get-date).addhours(-10)); # On test environment 4.2.2 Création d un gmsa ############## Variable ############## Import-Module ActiveDirectory $gmsa_account="gmsa_instance1" #Account name $MSA_description=" SQL instance" #Description 8

$DomainFullName="lab.lan" #Full domain name $FQDN_MSA_account=$gMSA_account+"."+$DomainFullName $Encryption="AES256" #Choose between RC4, AES128 or AES256 $TargetComputer="LAB-SQL01" #Target computer to link with the MSA account $PasswordInterval=30 #In days $gmsagroup="sg_sql_svcaccounts" ############## 1-Setup gmsa account ############## New-ADServiceAccount $gmsa_account -DNSHostName $FQDN_MSA_account -KerberosEncryptionType $Encryption -PrincipalsAllowedToRetrieveManagedPassword $gmsagroup - ManagedPasswordIntervalInDays $PasswordInterval -Description $MSA_description - SamAccountName $gmsa_account Vous pouvez consulter ses propriétés via la commande suivante : Get-AdServiceAccount identity $MSAaccount 4.2.3 Ajout du compte ordinateur dans un groupe Ajoutez l ordinateur cible du point précédent ($TargetComputer) dans le groupe de gestion créé à cet égard ($gmsagroup). Il faut ensuite redémarrer votre serveur cible pour prendre en compte cette nouvelle appartenance (ou «membership») : ############## 2-Add computer host in group ############## Add-ADPrincipalGroupMembership -Identity $TargetComputer -MemberOf $gmsagroup Restart-Computer # Restart target computer 4.2.4 Installation du compte Une fois l ordinateur cible redémarré, installez le compte gmsa sur ce dernier : ############## 3-Install account on target computer ############## Import-Module ActiveDirectory Install-AdServiceAccount $gmsa_account 4.2.5 Configuration du compte avec un service Référez-vous au point 2.2.4 pour cette partie. 9

5. Outils 5.1 Outils PowerShell L ensemble des commandes utilisées pour la création des comptes de service requièrent l installation du module Active Directory pour PowerShell sur votre serveur/station de travail : En PowerShell : Import-Module ServerManager Add-WindowsFeature RSAT-AD-PowerShell 5.2 Console GUI Il existe également un outil graphique gratuit baptisé Managed Service Accounts GUI permettant d effectuer l ensemble des actions décrites au préalable directement via une interface graphique (téléchargement). 10

Conclusion Les MSA apparus avec Server 2008 R2 et les gmsa apparus avec Server 2012 viennent donc combler un besoin important en termes de sécurité concernant l exécution des services. Désormais, il ne vous sera plus nécessaire de vous préoccuper de l administration de ces comptes étant donné que les mots de passe seront automatiquement renouvelés. Et grâce au gmsa, les déploiements de fermes SQL (par exemple) seront simplifiés et l utilisation de la technologie AAG sera encore plus simplifiée tout en vous garantissant une sécurité accrue. Le tableau ci-dessous résumé les caractéristiques des trois types de comptes : Peut être utilisé de plusieurs ordinateurs Disponible sur des systèmes antérieurs à Windows 7 Activé par défaut sur le système Reset automatique du mot de passe sans intervention Délégation des SPN possible Utilisable par SQL Server (uniquement 2012 ou supérieur) Requiert les AD tools VSA MSA gmsa NA N hésitez pas à m envoyer vos commentaires ou retours à l adresse suivante : m.decrevoisier A-R-0-B-A-5 outlook. com Soyez-en d ores et déjà remercié 11

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back