terça-feira, outubro 24, 2017
Breaking News
Home » Artigos » Criando uma Managed Service Accounts (MSA)

Criando uma Managed Service Accounts (MSA)

Neste Tutorial iremos mostrar como criar uma conta de serviço gerenciada também conhecida como Managed Service Accounts (MSA).

 

Solução

 


As contas de serviços gerenciadas foram introduzidas pela primeira vez no Windows Server 2008 . Elas são uma maneira inteligente de garantir o gerenciamento do ciclo de vida dos principais usuários dos serviços do Windows em um ambiente de domínio. As senhas para essas contas são mantidas no Active Directory e atualizadas automaticamente. Além disso, simplificam o gerenciamento de SPN para os serviços que alavancam essas contas. Apartir do Windows Server 2012 , estes também podem ser configurados como Contas de Serviço Gerenciadas por Grupo que são úteis para Server Farms.

 

Forma Tradicional  – Criar um usuário no AD e setar para que a senha não expire.

image

Managed Service Accounts – A Microsoft apresenta as contas de serviço gerenciadas (MSAs) com o Windows Server 2008 R2 para resolver os problemas com as contas de serviços tradicionais.

A Grande sacada não é fazer igual ao que se fazia antigamente, que era criar um usuário no AD, agora apartir do Windows Server 2008 é possível setar e falar que aquela é uma conta de serviço gerenciada (Managed Service Accounts)

Na conta de serviço tradicional, é necessário agendar uma parada no ambiente para trocar a senha para não impactar o ambiente de produção. Mas com a MSA, ela automaticamente irá mudar a senha. No AD DS, ele armazenará o objeto MSA como msDS-ManagedServiceAccount. No entanto, os MSAs não podem ser utilizados entre vários computadores ou no ambiente de cluster onde o serviço é replicado entre nós. Para esta função, caso necessite, utilize uma conta de serviço gerenciada de grupo (gMSA).

MSA usa uma senha complexa, aleatória de 240 caracteres e muda-a automaticamente quando atinge a data de expiração de senha do domínio ou do computador. Por padrão, é 30 dias. Ela também não pode ser bloqueada e não pode ser usada para logins interativos. Principalmente, os benefícios das MSAs são a mudança automática de senha e o gerenciamento de SPN (Serviço Principal Name) simplificado.

No AD DS, o MSA está armazenado em CN = Managed Service Accounts, DC = <domain>, DC = <com>, image

Um cenário comum para usar uma conta de serviço gerenciado pode ser executar um serviço do SQL Server 2012 ou IIS.

Há algumas etapas envolvidas na criação dessas contas de serviço gerenciadas no Windows Server 2012 R2.

Primeiro, existe uma dependência no Serviço de Distribuição de Chave (KDS Root Key) começando com o Windows Server 2012 (para suportar contas de serviços gerenciados em grupo, embora agora seja necessário para todas as contas de serviços gerenciados).

Requisitos para executar Contas de Serviço Gerenciadas (MSA):
• Windows Server 2008 R2 ou Windows Server 2012/R2
• AD Module for Windows Powershell
• .NET framework 3.5

O AD DS deve estar configurado no mínimo com o nível funcional do Windows Server 2008R2

Pode ser usado em um ambiente do AD DS do Windows Server 2003 ou 2008, desde que:

  • Com a atualização de esquema do Windows Server 2008R2
  • Com o Active Directory Management Gateway Service

Vamos ver como podemos criar uma MSA

1) Abra o Powershell com privilegios de administrator

image

 

2) Primeiro devemos criar uma chave raiz KDS (KDS Root Key). Em um ambiente de produção, você deve esperar 10 horas para a replicação para concluir depois de criar a chave, mas em cenários de laboratório com controladores de domínio único, você pode forçá-lo a entrar em vigor imediatamente.

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

3) Criamos a  conta de serviço gerenciada (service account) chamada SQL neste caso, isso é só um exemplo mas não impede de usar uma conta chamada IIS pra usar no IIS.
New-ADServiceAccount –Name SQL –DNSHostname SRVAD2 –PrincipalsAllowedToRetrieveManagedPassword SRVAD2$

4)  Precisamos associar a conta de serviço SQL ao objeto do computador chamado SRVAD2

Add-ADComputerServiceAccount –identity SRVAD2 –ServiceAccount SQL

image

5)  Confirmamos que a MSA foi criada com sucesso.

Get-ADServiceAccount –Filter *

6)  Instalamos a conta de serviço gerenciada no servidor, agora é só configurar essa conta para ser usada no SQL.

Install-ADServiceAccount –Identity SQL

image

Note que agora ao abrir o ADUC,  podemos ver a nova conta SQL na OU Managed Service Accounts

image

Conclusão


Neste artigo mostramos o passo a passo para criar uma conta de serviço gerenciada através do Windows PowerShell.

Sobre Rafael Bandeira de Oliveira

Rafael Bandeira de Oliveira, tem mais de 10 anos de experiência na área de TI, tendo atuado com suporte técnico e infraestrutura. Contribuo com a Comunidade Microsoft escrevendo artigos e tutoriais no AndersonPatricio.org, PuraInfo e no meu perfil no linkedin. Possuo as seguintes certificações: ITIL Foundation, MCP, ISO 2000 (Exin), Cloud Computing Foundation (Exin), ISO 27002 (Exin) com essas certificações da Exin + ITIL obtive o título de EXIN Certified Integrator Secure Cloud Services. Atualmente é Analista de Infraestrutura Sênior Microsoft.

Veja também!

Dica – ADinfo – Ferramente para rápidos relatórios de AD

Saudações a todos. Segue uma dica que certamente pode vir a calhar nos momentos de …

Este artigo lhe foi útil? comente e ajude outros acrescentando seu ponto de vista!