Managed Service Accounts

Ständig braucht man Sie, meistens werden Sie falsch verwendet oder völlig vernachlässigt. Die Rede ist von Service Accounts. Bei nahezu jeder Installation werden Service Accounts verwendet. In vielen Fällen benutzen Administratoren dafür Domänenaccounts. Häufig mit Domänenadministratorrechten und richten alle Accounts mit dem gleichen Passwort ein. Oftmals werden diese Accounts darüber hinaus so konfiguriert, dass diese von der Passwortänderungspolicy ausgenommen sind. Dieses Vorgehen stellt offensichtlich ein enormes Sicherheitsrisiko dar.

Seit Windows Server 2008 R2 gibt es eine wesentlich sicherere Alternative:

Managed Service Accounts.

Wie der Name schon sagt werden diese nicht erstellt und belassen, sondern gemanaged. Was zuerst nach mehr Aufwand klingt, ist tatsächlich bedeutend weniger Aufwand, da dieses Management vom AD selbst übernommen wird. Bei der Erstellung dieser Accounts wird nur der Name festgelegt, das Passwort kennt der Administrator nicht. Darüber hinaus ändert das AD das Passwort in regelmäßigen Abständen vollautomatisch. Diese Passwortänderung wird auch bei den Diensten die diese Benutzerkonten verwenden automatisch übernommen. Managed Service Accounts setzen mindestens einen DC mit Windows Server 2008 R2 oder höher voraus. Sollten sich in der Domäne noch Windows Server 2008 befinden, muss vor der Verwendung der Accounts ein Schemaupdate durchgeführt werden. Dazu führt man in der Domäne

adprep /domainprep

und im Forest

adprep/forestprep aus. Adprep befindet sich auf dem Windows Server 2008 R2 Installationsmedium im Verzeichnis Support\adprep.

Eine wichtige Einschränkung von Managed Service Accounts ist, dass jeder Account nur auf einem Computer verwendet werden darf. Daher sind diese Accounts auch nicht zur Verwendung in geclusterten Diensten geeignet.

Einige Parameter der Accounts lassen sich in der Registry des Servers konfigurieren. Die Schlüssel dazu sind unter

„HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters“

zu finden. Wichtig sind insbesondere die Werte DisablePasswordChange und MaximumPasswordAge. DisablePasswordChange hat, wie der Name schon sagt, den Zweck die automatisierte Änderung des Passwortes zu unterbinden. Der Wert dieses Schlüssels kann entweder „0“ oder „1“ betragen. Der Defaultwert ist „0“ dieser wird auch verwendet, wenn der Schlüssel fehlt. MaximumPasswordAge hat einen Defaultwert von 30 Tagen. Auch hier wird der Defaultwert verwendet, sollte der Schlüssel fehlen. Der Maximalwert beträgt 1000000 Tage.

Das automatisch erstellte Kennwort hat eine Länge von 240 Zeichen und wird verschlüsselt gesichert. Darüberhinaus besteht das Kennwort aus Zahlen, Buchstaben und Sonderzeichen.

Verwaltet werden die Accounts über die OU „Managed Service Accounts“. Erstellt werden Sie über die PowerShell.

Im Folgenden zeige ich wie ein Managed Service Account unter Windows Server 2008 R2 erstellt und verwendet werden kann. Dazu öffne ich eine PowerShell mit erhöhten Rechten.

Neue Accounts werden mit dem Befehl new-ADServiceAccount –Name „Name“ erstellt. Über den Parameter –Path lässt sich der Pfad angeben und mit –Enabled $true kann der Account direkt aktiviert werden. In diesem Fall erstelle ich einen Account mit dem Namen mSVC. Um das cmdlet verwenden zu können, muss das Active Directory Modul geladen sein. Das kann über import-module ActiveDirectory durchgeführt werden.

Anschließend ist der Service Account hier zu finden:

Im nächsten Schritt muss der Service Account auf dem Rechner, auf dem er verwendet werden soll, installiert werden. Dazu verwendet man Install-ADServiceAccount -Identity mSVC

Nun kann der Service Account auf diesem Rechner verwendet werden. Wenn nach den Credentials des Accounts gefragt wird, muss in das Accountnamensfeld der Accountname gefolgt von einem $ Zeichen eingefügt werden. Im Beispiel wäre das mSVC$. Das Passwortfeld bleibt leer, es wird vom AD automatisch ermittelt.