Managed Service Accounts verwalten mit kostenlosem GUI-Tool

    Die Bordmittel von Windows zum Anlegen, Verknüpfen und Installieren von Managed Service Accounts beschränken sich auf einige PowerShell-Cmdlets. Wer zu diesem Zweck ein grafisches Tool verwenden möchte, kann auf das kostenlose Managed Service Accounts GUI von Chris Wright zurückgreifen.

    Managed Service Accounts (MSAs) sind AD-Konten, mit denen sich das Least-Privilege-Prinzip für Windows-Dienste realisieren lässt, und die gleichzeitig ein automatisches Passwort-Management bieten (siehe: Managed Service Accounts: Windows-Dienste mit eigenen Konten anmelden).

    Fast vollständige Verwaltung unter einer Oberfläche

    Die Nutzung von MSAs erfolgt in vier Schritten, beginnend mit dem Anlegen des Accounts im AD, gefolgt von seiner Verknüpfung mit einem Computer-Objekt und seiner Installation auf dem Rechner, wo er von einem Dienst verwendet werden soll. Die letzte Aufgabe besteht in den Konfiguration des Services, so dass sich dieser unter dem MSA anmeldet.

    Während normalerweise für jeden der ersten drei Schritte ein eigenes PowerShell-Cmdlet zuständig ist (siehe: Managed Service Accounts einrichten mit PowerShell), deckt Managed Service Accounts GUI den ganzen Prozess ab, abgesehen von der abschließenden Konfiguration des Dienstes für die MSA-Anmeldung.

    Neues Konto erstellen

    Beim Erzeugen eines neuen Kontos muss man sich zwischen einem einfachen Managed Service Account, wie er mit Windows Server 2008 R2 eingeführt wurde, und einem Group Managed Service Account entscheiden. Ersterer lässt sich nur auf einem einzigen Computer nutzen, Zweiterer dagegen auch auf ganzen Server-Farmen, vorausgesetzt sie laufen mindestens unter Windows Server 2012.

    Das kostenlose Tool unterstützt sowohl einfache Managed Service Accounts als auch Group MSAs.

    Legt man einen neuen MSA an, dann kann man in der entsprechenden Maske die meisten Daten eintragen, die man sonst dem Cmdlet New-ADServiceAccount als Parameter übergeben würde. Dazu zählen unter anderem der AD-Container, in dem das Konto erstellt werden soll, oder ein allfälliges Ablaufdatum.

    Verknüpfen und installieren von MSAs

    Per Voreinstellung springt das Tool nach dem Generieren eines MSA gleich zur nächsten Aufgabe und bietet an, diesen mit einem Computer zu verknüpfen. Diesen kann man einfach über eine Suchfunktion eruieren und aus der Trefferliste übernehmen.

    Computer, denen ein MSA zugeordnet werden soll, lassen sich einfach über die integrierte Suche finden.

    Möchte man schließlich das Konto auf dem betreffenden Computer installieren, so kann man dies gleich im Anschluss remote erledigen. Das Tool erwartet dafür die Eingabe der erforderlichen Anmeldedaten. Den Abschluss bildet die Konfiguration des Dienstes, für die Windows mit services.msc eine eigene GUI bereitstellt.

    Editieren bestehender MSAs

    Beim Aufruf des Tools liest es automatisch die bestehenden Managed Service Accounts aus der Domäne aus, für die der aktuelle Benutzer angemeldet ist. Vorhandene Einträge in der Liste lassen sich editieren, so dass man sie umbenennen, ihnen einen Service Principal Name oder eine Beschreibung zuordnen kann. Existierende Verknüpfungen lassen sich lösen oder mit anderen mit Computer-Objekten herstellen.

    Systemvoraussetzungen und Verfügbarkeit

    Managed Service Accounts GUI setzt das Active Directory-Modul von PowerShell voraus, das zum Lieferumfang von RSAT gehört, sowie das .NET Framework 4. Die Software kann kostenlos von der Website des Autors heruntergeladen werden.

    Keine Kommentare