GMSA-Leitfaden
Gruppenverwaltete Dienstkonten sind verwaltete Domänenkonten, die Dienste, Anwendungen und Planeraufträge sicher ausführen. Dieser spezielle Typ von Active Directory-Konten bietet eine automatische Kennwortverwaltung, die Möglichkeit, die Kontrolle an andere Administratoren zu delegieren, und eine vereinfachte Verwaltung von Dienstprinzipalnamen (SPN).
Erstmals erschien dieses Feature in Windows Server 2008 R2 und Windows 7, es bietet die gleiche Funktionalität auch in der Domäne, erweitert die Funktionalität aber auch auf mehrere Server. Wenn der GMSA als Dienstprinzipal verwendet wird, verwaltet das Windows-Betriebssystem das Kennwort des Kontos und ist nicht auf einen Administrator angewiesen, um das Kennwort zu verwalten.
Anmeldung
Gruppenverwaltete Dienstkonten ermöglichen es Ihnen, dasselbe Konto auf mehreren Servern gleichzeitig zu verwenden. Dies gilt insbesondere für geclusterte SQL Server-Konfigurationen. Nach der Konfiguration von GMSA wird die Kennwortänderung/Synchronisierung (standardmäßig alle 30 Tage) dem Active Directory zugewiesen und automatisch durchgeführt, ohne dass der gMSA-Administrator daran beteiligt sein muss und die SQL Server-Dienste neu gestartet werden müssen.
Es ist zu beachten, dass Failover Clustering GMSA nicht unterstützt, aber Dienste, die über dem Clusterdienst laufen, können GMSA oder SMSA verwenden.
Erstellung
Bevor Sie sich fragen, wie Sie eine GMSA erstellen können, sollten Sie einige Voraussetzungen kennen und erfüllen.
- Gruppenverwaltete Dienstkonten können nur auf Hosts mit Windows Server 2012 oder höher konfiguriert werden, da gMSA-Passwörter nur von Domänencontrollern mit Windows Server 2012 oder höher weitergegeben werden können.
- Um ein gMSA-Konto zu erstellen, müssen Sie ein Domänenadministrator sein oder ein Konto mit der Berechtigung "Create MSDS-GroupManagedServiceAccount Object" verwenden.
- Sie sollten auch das CredentialSpec PowerShell-Modul herunterladen. Sie können das Modul auf einem Computer mit Internetzugang speichern und es auf Ihren Entwicklungscomputer kopieren.
Sobald diese Bedingungen erfüllt sind, können Sie eine GMSA erstellen.
>Wenn Sie eine GMSA erstellen, erstellen Sie eine gemeinsame Kennung, um sie gleichzeitig auf verschiedenen Rechnern zu verwenden. Wie bereits erwähnt, besitzt Active Directory den Zugriff auf das GMSA-Kennwort, daher empfiehlt es sich, für jedes GMSA-Konto eine Sicherheitsgruppe zu erstellen. Anschließend müssen Sie die zugehörigen Container-Hosts zu dieser Sicherheitsgruppe hinzufügen, um so den Zugriff auf die Passwörter zu beschränken.
>Zudem müssen Sie manuell einen oder mehrere Hostnamen für das GMSA-Konto erstellen, da der Container nicht automatisch SPNs registriert. Normalerweise wird der Host mit demselben Namen wie das GMSA-Konto registriert, aber wenn der DNS-Name nicht mit dem Namen GMSA übereinstimmt oder der Client von hinter dem Load Balancer auf die Container-App zugreift, müssen Sie möglicherweise einen anderen Dienstnamen verwenden.
Wenn der Name GMSA feststeht, starten Sie die PowerShell und erstellen eine Sicherheitsgruppe und GMSA.
Verwenden Sie die folgenden Befehle:
- Install-WindowsFeature RSAT-AD-PowerShell. Der Befehl wird zur Installation des Moduls auf Windows Server verwendet,
- Add-WindowsCapability -Online -Name 'RSAT.ActiveDirectory.DS-LDS.Tools ~~~~ 0.0.1.0'. Der Befehl wird verwendet, um das Modul AD auf Windows 10, Version 1809 oder höher, zu installieren,
- New-ADGroup -Name "WebApp02 Authorized Hosts" -SamAccountName "WebApp01Hosts" -GroupScope DomainLocal. Mit diesem Befehl können Sie eine Sicherheitsgruppe erstellen.
- New-ADServiceAccount -Name "WebApp02" -DnsHostName "WebApp02.contoso.com" -ServicePrincipalNames "host / WebApp01", "host / WebApp02.contoso.com" -PrincipalsAllowedToRetrieveManagedPassword "WebApp01Hosts". Der Befehl wird zur Erstellung von GMSA verwendet.
- Add-ADGroupMember -Identity "WebApp02Hosts" -Members "ContainerHost01 $", "ContainerHost02 $", "ContainerHost03 $". Der Befehl wird verwendet, um Container-Hosts zu einer Sicherheitsgruppe hinzuzufügen.
Hinweis: WebApp02 und contoso.com sind Ihre GMSA-Namen bzw. Domänennamen.
Schützen Sie Ihre virtuellen Daten
DiskInternals VMFS Recovery™ ist das bekannteste professionelle VMFS-Wiederherstellungstool und kann Ihnen Ihre VMDK-Dateien zurückgeben.
Hier sind die wichtigsten Funktionen und Möglichkeiten, die VMFS Recovery ™ von anderen ähnlichen Programmen unterscheiden:
- Unterstützt virtuelle Maschinen, einschließlich VMware, VirtualBox, Virtual PC Disk Images.
- Unterstützt vSphere 6 und ESX / ESXi Server.
- Funktioniert mit Windows 7 und höher. Es ist jedoch am besten, Windows 10 zu verwenden, da VMDK VMFS Recovery ™ vor der Wiederherstellung gelöschter Dateien eine VMFS-Struktur im RAM erstellt, und dafür benötigen Sie mindestens 6 GB.
- Die Größe der Software beträgt 65 MB. Sie müssen jedoch genügend freien Speicherplatz auf Ihrer Festplatte haben, um Daten wiederherstellen zu können.
- Recovery Wizard hilft Ihnen, automatisch und ohne Probleme Daten von jeder Festplatte in kurzer Zeit wiederherzustellen.
- Wiederhergestellte Dateien werden an lokale oder entfernte Speicherorte exportiert, und jedes virtuelle Laufwerk kann für den Zugriff in ein lokales konvertiert werden.
- Die Anwendung unterstützt Dateinamen und mehrstufige Unicode-Ordner.
Lesen Sie diese Anleitung zur Verwendung von DiskInternals VMFS Recovery:
>1. Laden Sie die App von der DiskInternals Website für Windows Vista, 7, 8 und 10 oder Windows Server 2006-2019 herunter.
2. Nach dem Start der Anwendung verbinden Sie sich ggf. über SSH und öffnen dann sofort das Laufwerk und starten den Scan.
3. VMFS Recovery wird dann alle VMDK-Dateien mounten.
4. Überprüfen Sie dann die wiederhergestellten Dateien auf ihre Integrität.
Wenn alles passt, ist es an der Zeit, einen Lizenzvertrag für die vollständige Nutzung von DiskInternals VMFS Recovery zu erwerben und dann alle gefundenen oder bestimmte Dateien nach eigenem Ermessen zu exportieren.