Managed Service Accounts

Active Directory - verwaltete Dienstkonten in der Praxis

Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt. Das Blog von Thomas Joos finden Sie unter thomasjoos.wordpress.com.
Verwaltete Dienstkonten sind bestimmte Benutzerkonten im Active Directory, die zur Verwendung als Benutzerkonto von lokalen Diensten geeignet sind. Richtig eingesetzt, können sich Administratoren damit Abläufe deutlich erleichtern.

Bei verwalteten Dienstkonten (Managed Service Accounts) verwalten nicht Administratoren die Kennwörter dieser Konten, sondern das Active Directory übernimmt diese Tätigkeit automatisch. Administratoren können solche Änderungen manuell anstoßen, müssen das Kennwort aber weder kennen noch ändern.

Sichtbarkeit: Die verwalteten Dienstkonten lassen sich in Windows Server 2008 R2 anzeigen.
Sichtbarkeit: Die verwalteten Dienstkonten lassen sich in Windows Server 2008 R2 anzeigen.

Bei Systemdiensten, die diese Benutzerkonten verwenden, müssen die Kennwortänderungen nicht von Administratoren konfiguriert werden. Die Änderung der Kennwörter wird automatisch übernommen, was die Verwaltung deutlich erleichtert.

Im Fokus der neuen Funktion stehen Dienstkonten von Serveranwendungen wie Exchange, SharePoint oder SQL. Die anvisierten Dienstkonten sind zum einen wichtig für den Betrieb, zum anderen kritisch in Sachen Sicherheit - insbesondere deshalb, weil die Benutzerkonten, mit denen diese Dienste starten, oft über weitreichende Rechte verfügen.

Vor allem die Benutzerkonten Lokaler Dienst, Netzwerkdienst und Lokales System verwenden viele Administratoren oft für Serveranwendungen. Der Nachteil dieser lokalen Dienste ist die fehlende Möglichkeit, Einstellungen auf Domänenebene vorzunehmen. Verwenden Administratoren statt diesen Konten Benutzerkonten aus dem Active Directory, ergeben sich neue Bedingungen bezüglich der Verwaltung der Kennwörter. Die Verwaltung der Managed Service Accounts findet ausschließlich in der PowerShell statt.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (ph)