1
GMSA Berechtigungen setzen
Guten Tag zusammen,
ich bin dabei unsere Dienste und Aufgabenplanungen von dem Domänen Admins zu lösen. Dafür habe ich die group Managed Service Accounts soweit angelegt. Nach den ersten Tests stellte sich aber heraus, dass der Serviceaccount nicht genug Berechtigungen hat.
Beispiel:
Der Dienst startet eine Exe die wiederum eine weitere Exe mit Port Parametern usw. startet. Diese zweite Exe wird garnicht erst gestartet laut Process Explorer. Gebe ich dem gMSA Lokale Admin Rechte startet der Dienst wie gewohnt.
Das Thema ist für mich noch relativ neu und ich habe mich schon viel eingelesen, allerdings fehlen mir Ansatzpunkte wie ich die granularen Berechtigungen vergeben kann. Es folgen noch viele weitere Dienste wie z. B. SQL Server, an die möchte ich noch garnicht denken. Vielleicht hat jemand bereits Erfahrung und kann mir auf die Sprünge helfen.
Viele Grüße
w1k33d
ich bin dabei unsere Dienste und Aufgabenplanungen von dem Domänen Admins zu lösen. Dafür habe ich die group Managed Service Accounts soweit angelegt. Nach den ersten Tests stellte sich aber heraus, dass der Serviceaccount nicht genug Berechtigungen hat.
Beispiel:
Der Dienst startet eine Exe die wiederum eine weitere Exe mit Port Parametern usw. startet. Diese zweite Exe wird garnicht erst gestartet laut Process Explorer. Gebe ich dem gMSA Lokale Admin Rechte startet der Dienst wie gewohnt.
Das Thema ist für mich noch relativ neu und ich habe mich schon viel eingelesen, allerdings fehlen mir Ansatzpunkte wie ich die granularen Berechtigungen vergeben kann. Es folgen noch viele weitere Dienste wie z. B. SQL Server, an die möchte ich noch garnicht denken. Vielleicht hat jemand bereits Erfahrung und kann mir auf die Sprünge helfen.
Viele Grüße
w1k33d
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1685244864
Url: https://administrator.de/contentid/1685244864
Ausgedruckt am: 25.11.2024 um 13:11 Uhr
1 Kommentar
Hi.
Auch wenn GMSA eine schöne Idee ist: wer keine Übersicht darüber hat, was das Dienstkonto dürfen muss, ist damit nicht gut beraten. Ich würde testen, ob Du auf das lokale Systemkonto umsteigen kannst - dieses hat lokal meist alle Rechte bereits inne und darf in Domänen sogar im Netzwerk handeln. Das ist schon Welten besser als der Domänenadmin und du gewinnst Zeit, dich zu informieren.
Auch wenn GMSA eine schöne Idee ist: wer keine Übersicht darüber hat, was das Dienstkonto dürfen muss, ist damit nicht gut beraten. Ich würde testen, ob Du auf das lokale Systemkonto umsteigen kannst - dieses hat lokal meist alle Rechte bereits inne und darf in Domänen sogar im Netzwerk handeln. Das ist schon Welten besser als der Domänenadmin und du gewinnst Zeit, dich zu informieren.
