phatair 39 Geschrieben 20. März 2019 Melden Teilen Geschrieben 20. März 2019 Hallo zusammen, wir haben bei uns bisher "Service Accounts" so definiert, dass es normale AD User waren die einen bestimmten Namensschema gefolgt sind. Diese hatten die Option "Passwort läuft nicht ab" und "User kann Passwort nicht ändern" aktiviert. Diese Accounts wurden nur für eine festgelegte Aufgabe verwendet. Nun gibt es ja auch die Möglichkeit Managend Service Accounts (ab 2008R2) und Group Managend Service Account (ab 2012) zu verwenden. Das wären dann "richtige" Service Accounts. Ich hätte dazu ein paar Fragen und vielleicht kann mir diese jemand beantworten: Benötige ich für MSA auch einen KdsRootKey oder wird das nur für die gMSA benötigt? Kann man für einen MSA Accounts auch NTFS Berechtigungen vergeben (wir haben z.B. eine Software die läuft als Dienst (hier würde ich einen MSA erstellen) und dieser muss aber auch gleichzeitig auf eine Freigabe zugreifen können. Der MSA wird einmal auf dem DC erstellt und einem Computer zugewiesen und zusätzlich muss auf diesem zugewiesen Computer auch noch ein Befehl ausgeführt werden, damit dieser MSA verwendet werden kann - ist das richtig? Wird der MSA User auf dem zugewiesenen Server automatisch für "logon as service" User eingetragen oder muss das manuell gemacht werden? Macht ein MSA nur bei Diensten/Tasks Sinn oder kann man das auch in jeder anderen Software verwenden, die dann einen Dienst mit einem named User ausführt? Vielen Dank. Gruß Zitieren Link zu diesem Kommentar
Beste Lösung daabm 1.348 Geschrieben 21. März 2019 Beste Lösung Melden Teilen Geschrieben 21. März 2019 Durchnumerieren wäre besser als eine Bullet List, dann klappt es mit der Antwort besser 1. Nein 2. Ja 3. Ja (bzw. wieso auf dem DC? Der wird in der Domäne erstellt, von wo Du das machst ist schnuppe...) 4. IMHO Nein - Ja 5. Unverständlich 1 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 22. März 2019 Autor Melden Teilen Geschrieben 22. März 2019 Danke Martin, jap, da hast du Recht. Weiß auch nicht wie ich auf die Idee gekommen bin eine Bullet List zu erstellen Der Punkt 5 hat sich auf Anwendungen bezogen, in denen ich z.b. während der Installation schon einen User angeben muss, der dann als Service Account für einen Dienst genommen wird. Hier muss ich dann ja das Passwort leer lassen. Ich vermute jetzt, dass die Software dann einen Fehlermeldung ausgibt, da man kein Passwort eingegeben hat oder wie macht Windows das mit dem AD Passwort? Ich werde das aber einfach mal bei nächster Gelegenheit testen :) Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 22. März 2019 Melden Teilen Geschrieben 22. März 2019 Moin, vor 10 Minuten schrieb phatair: Der Punkt 5 hat sich auf Anwendungen bezogen, in denen ich z.b. während der Installation schon einen User angeben muss, der dann als Service Account für einen Dienst genommen wird. Hier muss ich dann ja das Passwort leer lassen. Ich vermute jetzt, dass die Software dann einen Fehlermeldung ausgibt, da man kein Passwort eingegeben hat oder wie macht Windows das mit dem AD Passwort? eine Anwendung muss dafür eingerichtet sein, mit einem MSA zu arbeiten. Wenn sie nur ein "klassisches" Konto vorsieht, ist sie i.d.R. ungeeignet. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.