Group Managed Service Accounts - welche Applikationen?
Hallo zusammen
Wir haben eine große Serverlandschaft mit Windows Server 2012 R2 und der Großteil der Anwendungen auf den Servern wurden mit dem Domain-Admin installiert und die Dienste laufen auch mit diesem Benutzer.
Das Ziel ist den Domain-Admin gegen einen "Group Managed Service Account" auszutauschen. Es gibt ja genügend Anleitungen dafür im Netz.
Meine Frage ist: werden gMSA von allen Applikationen unterstützt? Gibt's da Einschränkungen?
Kann man die Benutzernamen der Dienste einfach austauschen oder muss die Applikation mit dem gMSA neu installiert werden?
Gibt es andere Möglichkeiten Dienste mit einem anderen Benutzer laufen zu lassen?
Hat jemand Erfahrungen damit?
Wir nutzen hauptsächlich Microsoft-Applikationen (SQL, Navision), aber auch Fremdanbieter-Software (NetApp SnapDrive, Ricoh Streamline NX).
Über Antworten würde ich mich sehr freuen
Gruß
Lukas
Wir haben eine große Serverlandschaft mit Windows Server 2012 R2 und der Großteil der Anwendungen auf den Servern wurden mit dem Domain-Admin installiert und die Dienste laufen auch mit diesem Benutzer.
Das Ziel ist den Domain-Admin gegen einen "Group Managed Service Account" auszutauschen. Es gibt ja genügend Anleitungen dafür im Netz.
Meine Frage ist: werden gMSA von allen Applikationen unterstützt? Gibt's da Einschränkungen?
Kann man die Benutzernamen der Dienste einfach austauschen oder muss die Applikation mit dem gMSA neu installiert werden?
Gibt es andere Möglichkeiten Dienste mit einem anderen Benutzer laufen zu lassen?
Hat jemand Erfahrungen damit?
Wir nutzen hauptsächlich Microsoft-Applikationen (SQL, Navision), aber auch Fremdanbieter-Software (NetApp SnapDrive, Ricoh Streamline NX).
Über Antworten würde ich mich sehr freuen
Gruß
Lukas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 590089
Url: https://administrator.de/contentid/590089
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
2 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Meine Frage ist: werden gMSA von allen Applikationen unterstützt? Gibt's da Einschränkungen?
Da gibt es kein Patentrezept. Das musst du den Hersteller der jeweiligen Software explitzit fragen. Kann man die Benutzernamen der Dienste einfach austauschen oder muss die Applikation mit dem gMSA neu installiert werden?
Kann man machen... allerdings besteht das Risiko, dass die Anwendung damit nicht umgehen kann und somit einen (temporären) Ausfall verursacht hast. Wenn ihr wirklich eine so große Umgebung habt, gibt es sicherlich ein Change Management. Gibt es andere Möglichkeiten Dienste mit einem anderen Benutzer laufen zu lassen?
Falls (g)MSA nicht unterstützt wird, ist es oftmals möglich einen dedizierten Benutzer, für den gedachten Anwendungsfall, im Active Directory anzulegen und mit einem Passwort zu versehen. Je nach Applikation sind evtl. weitere Rechte lokal auf dem Server notwendig.Wir nutzen hauptsächlich Microsoft-Applikationen (SQL, Navision),
Navision hat meines Wissens nach Microsoft SQL Server als Backend. Hier ist z.B. die Version des SQL Servers wichtig. Denn SQL 2012(R2) kann z.B. aussschließlich mit MSA umgehen. Erst spätere Versionen können mit gMSA genutzt werden. Ist z.B. sehr wichtig, wenn der SQL Server als Cluster betriebeben wird.aber auch Fremdanbieter-Software (NetApp SnapDrive, Ricoh Streamline NX).
Netapp SnapDrive unterstützt ab einer gewissen Version ebenfalls gMSA.Gruß,
Dani
Hi,
im Prinzip kann man nachträglich die Konten, mit welchen Windows Dienste ausgeführt werden sollen, "beliebig" ändern.
Einschränkungen wären z.B.
Genau aus diesem Grund sollte man sich vor der Installation einer Software erkundigen (am besten in Testumgebung testen), wie diese funktioniert. Ob und, wenn ja, welche Dienst da laufen. Welche Konten benötigt werden und welche Berechtigungen diese benötigen. Dann schon bei der Installation mit genau diesen vorbereiteten Konten arbeiten. Entweder unter deren Anmeldung installieren oder diese beim Setup der Anwendung für die betreffenden Punkte eintragen.
E.
Edit:
Und niemals ein für die interaktive Anmeldung gedachtes Administratorkonto für die Ausführung von Diensten und/oder Scheduled Task verwenden!
im Prinzip kann man nachträglich die Konten, mit welchen Windows Dienste ausgeführt werden sollen, "beliebig" ändern.
Einschränkungen wären z.B.
- das andere Konto muss über ausreichend Berechtigungen (lokale Privilegien, Zugriffsrechte Registry, Zugriffsrechte lokale Datenträger, ggf. Zugriffsrechte für Netzwerkressourcen) verfügen um den Dienst starten und dessen Aufgaben erledigen zu können
- es gibt Anwendungen, welche bei Standard-Installationen jenes Konto, mit welchem man gerade installiert, als alleinigen Admin einzutragen. MS-SQL Server wäre so ein Kandidat. Wenn man bei der Installation eine neue Instanz mit nur Windows-Authentifizierung erstellt, dann wird dort standardmäßig nur der ausführende Benutzer als "SA" eingetragen.
- (hoffentlich) seltener kommt es vor, dass solche Dienste Einstellungen im Benutzerprofil des installierenden Benutzers eintragen. Hier müsste man bei einem Wechsel des Benutzers diese Einstellungen in dessen Benutzerprofil übertragen.
Genau aus diesem Grund sollte man sich vor der Installation einer Software erkundigen (am besten in Testumgebung testen), wie diese funktioniert. Ob und, wenn ja, welche Dienst da laufen. Welche Konten benötigt werden und welche Berechtigungen diese benötigen. Dann schon bei der Installation mit genau diesen vorbereiteten Konten arbeiten. Entweder unter deren Anmeldung installieren oder diese beim Setup der Anwendung für die betreffenden Punkte eintragen.
E.
Edit:
Und niemals ein für die interaktive Anmeldung gedachtes Administratorkonto für die Ausführung von Diensten und/oder Scheduled Task verwenden!