Machen Sie sich mit der Verwendung von gruppenverwalteten Dienstkonten vertraut

Dienstkonten werden in Unternehmen seit langem als Werkzeug verwendet, um Anwendungen oder Diensten erforderliche Berechtigungen zu erteilen. Diese Dienstkonten können jedoch auch mehrere Herausforderungen mit sich bringen.

Es ist leicht, einem Dienstkonto versehentlich übermäßige Berechtigungen zu erteilen. Auch die Verwendung von Passwörtern kann problematisch sein. Wenn Sie Dienstkontokennwörter so konfigurieren, dass sie regelmäßig ablaufen, können Anwendungen, die von einem funktionierenden Dienstkonto abhängen, zum Stillstand kommen, wenn das Ablaufdatum erreicht wird. Sie müssen dem Dienstkonto ein neues Kennwort zuweisen und dann die Anwendung aktualisieren, um dieses Kennwort zu verwenden. Der Einfachheit halber kann eine Organisation eine Ablaufrichtlinie mit Dienstkontokennwörtern vermeiden, dies stellt jedoch auch Sicherheitsherausforderungen dar.

Microsoft hat verwaltete Dienstkonten – auch als eigenständige verwaltete Dienstkonten bezeichnet – in Windows Server 2008 R2 eingeführt und dann verwaltete Dienstkonten in Windows Server 2012 gruppiert, um die administrativen Herausforderungen und potenziellen Sicherheitsrisiken herkömmlicher Dienstkonten zu bewältigen.

Entdecken Sie die Vorteile der verwalteten Dienstkontotypen

Einer der Vorteile bei der Verwendung beider Arten von verwalteten Dienstkonten ist die automatisierte Kennwortverwaltung. Sobald Sie es eingerichtet haben, stellt Windows Server dem Konto ein sicheres Kennwort zur Verfügung und ändert das Kennwort in regelmäßigen Abständen automatisch.
Wenn dies seltsam klingt, sollten Sie sich überlegen, wie Active Directory mit anderen Konten umgeht. Benutzer- und Computerkonten haben Passwörter. Der Benutzer erstellt und verwaltet sein Kennwort, während Windows das Kennwort für ein Computerkonto automatisch erstellt und verwaltet.
Der Screenshot zeigt eine Gruppenrichtlinieneinstellung namens Domänenmitglied: Maximales Alter des Computerpassworts das steuert, wie häufig Windows die Kennwörter für Computerkonten ändert. Diese Gruppenrichtlinieneinstellung ist standardmäßig nicht definiert und Kennwörter werden alle 30 Tage geändert. Sie können den Wert an Ihre Bedürfnisse anpassen.

Passwortänderungen des Computerkontos
Konfigurieren Sie Gruppenrichtlinieneinstellungen, um die Häufigkeit von Kennwortänderungen für Active Directory-Computerkonten zu steuern.

Unterschied zwischen verwalteten Dienstkonten und Computerkonten

Verwaltete Dienstkonten funktionieren in Bezug auf Kennwörter ähnlich wie Active Directory-Computerkonten. Es gibt jedoch einige wesentliche Unterschiede.
Ein eigenständiges verwaltetes Dienstkonto behandelt Kennwörter ähnlich wie Active Directory Computerkonten. Microsoft bezeichnet diese Konten als eigenständige verwaltete Dienstkonten, da sie nur auf einem bestimmten Server funktionieren. Sie stellen Anmeldeinformationen für einen oder mehrere Dienste auf diesem designierten Server bereit. Ein eigenständiges verwaltetes Dienstkonto kann mehrere Dienste unterstützen, aber Best Practices sehen vor, dass es am besten ist, für jeden Dienst ein separates Dienstkonto zu erstellen.
Ein gruppenverwaltetes Dienstkonto ist mit einem eigenständigen verwalteten Dienstkonto vergleichbar, mit dem Unterschied, dass es auf mehreren Servern funktioniert. Dies bedeutet jedoch nicht, dass Sie ein einzelnes gruppenverwaltetes Dienstkonto für alle Server innerhalb einer gesamten Organisation verwenden sollten. Microsoft definiert einige sehr spezifische Anwendungsfälle für gruppenverwaltete Dienstkonten.
All dies wirft zwei sehr wichtige Fragen auf: Was sind die Vorteile eines verwalteten Dienstkontos gegenüber einem als Dienstkonto konfigurierten Benutzerkonto und woher wissen Sie, welche Art von verwaltetem Dienstkonto Sie verwenden sollten?

Informationen zu den Anforderungen für verwaltete Dienstkonten

Neben der automatischen Passwortänderung alle 30 Tage befreit Sie ein Managed Service Account von starke Passwörter erstellen. Ein verwaltetes Dienstkonto erhält ein zufällig generiertes Kennwort mit einer Länge von 240 Byte. Noch wichtiger ist vielleicht, dass Windows dem IT-Personal das Kennwort niemals preisgibt.
Solange die Funktionsebene der Active Directory-Domäne auf Windows Server 2008 R2 oder höher festgelegt ist, wird das Konto automatisch an Änderungen des Dienstprinzipalnamens angepasst. Wenn Sie den Server umbenennen oder den DNS-Namen des Servers ändern, wird das verwaltete Dienstkonto entsprechend angepasst.
Bei der Entscheidung für die Art des Dienstkontos sind vor allem drei Dinge zu beachten. Dazu gehören Ihre Windows Server-Betriebssystemversion, wie Sie das Dienstkonto verwenden möchten und welche Arten von Dienstkonten Ihr Dienst oder Ihre Anwendung unterstützt. Die Anwendungsunterstützung ist ein besonders wichtiger Aspekt, da nicht jede Anwendung mit einem verwalteten Dienstkonto funktioniert.
Ebenso müssen Sie die Typen von verwalteten Dienstkonten berücksichtigen, die das Serverbetriebssystem unterstützt. Eigenständige verwaltete Dienstkonten wurden in Windows Server 2008 R2 eingeführt und erfordern das Active Directory auf Windows Server 2008 R2 oder einer höheren Schemaebene. Wenn das Konto Änderungen an Dienstprinzipalnamen automatisch erkennen soll, muss die Active Directory-Funktionsebene auf Windows Server 2008 R2 oder höher eingestellt sein.
Microsoft hat gruppenverwaltete Dienstkonten in Windows Server 2012 eingeführt. Um dieses Feature verwenden zu können, muss das Active Directory-Schema auf Windows Server 2012 oder höher festgelegt werden. Die Domäne kann bei Bedarf eine Mischung aus Windows Server 2012 und älteren Domänencontrollern ausführen.

Welche Einschränkungen gibt es bei gruppenverwalteten Dienstkonten?

Ein eigenständiges verwaltetes Dienstkonto dient zum Ausführen von Diensten auf einem einzelnen Server. Gruppenverwaltete Dienstkonten funktionieren auf mehreren Servern, jedoch nur, wenn diese Systeme zu einer gemeinsamen Serverfarm gehören oder sich hinter einem Lastenausgleich befinden. Andere Anwendungsfälle werden nicht unterstützt.
Sie können beispielsweise kein gruppenverwaltetes Dienstkonto verwenden, um die Knoten in einem Failovercluster zu unterstützen, aber es kann auf einem Cluster arbeiten, insbesondere wenn das Dienstkonto einen Windows-Dienst unterstützt, und Anwendungspool oder eine geplante Aufgabe. Einige Anwendungen unterstützen auch nativ gruppenverwaltete Dienstkonten.

Similar Posts

Leave a Reply