MSA gMSA Account
Der Unterschied zwischen diesen beiden Accounts besteht in der Nutzbarkeit.
Ein MSA Account kann nur einem Server zugewiesen werden, wobei der gMSA Account mehreren Servern (auch Cluster-Service) zugewiesen werden kann.
Unterschied Managed Service Account & Group Managed Service Account
Ein Managed Service Account benötigt beim Anlegen den Schalter “RestrictToSingleComputer”
New-ADServiceAccount -Name “MSA” -RestrictToSingleComputer
Ein Group Managed Service Account benötigt (nicht unbedingt) eine Sicherheitsgruppe “SecGrMSA”, in der die Computer Mitglied werden, auf denen der gMSA Account eingesetzt werden soll. Wie man ein gMSA Account ohne Sicherheitsgruppe anlegt zeige ich euch in diesem Beitrag.
New-ADServiceAccount -Name MSA-Skript -Enabled $true `
-DNSHostName ndsedv.de `
-PrincipalsAllowedToRetrieveManagedPassword “SecGrMSA”
Wichtige Optionen:
DNS Hostname = Name des Servers
ServicePrincipalNames = MSSQLSvc/SRV01.dbi-test:1433
Des Weiteren verfügt der gMSA Account über erweiterte Attribute:
ADServiceAccount installieren:
Install-ADServiceAccount -Identity MSAAccount$
ADServiceAccount de-installieren:
UnInstall-ADServiceAccount -Identity MSAAccount$
ADServiceAccount Passwort erneuern:
Reset-ADServiceAccountPassword -Identity MSAAccount$
ADServiceAccount aus dem AD entfernen:
Remove-ADServiceAccount -Identity MSAAccount$
https://www.der-windows-papst.de/2016/02/27/server-20102-group-managed-service-account-erstellen/