Managed Service Accounts anlegen und verwalten
Die verwalteten Dienstkonsten legen Sie über die PowerShell an - genauer gesagt über das Active-Directory-Modul der PowerShell mit dem CMDlet new-ADServiceAccount "NameAccount". Der Ablauf bei der Verwendung von Managed Service Accounts ist wie folgt:
-
Sie legen das verwaltete Dienstkonto im Active Directory an.
-
Sie verbinden das Konto mit einem einzelnen Computerkonto. Auf dem Computer muss dazu Windows Server 2008 R2 installiert sein.
-
Sie installieren das verwaltete Benutzerkonto auf dem Computer.
-
Sie passen die Systemdienste auf dem lokalen Computer an, um das neue Konto zu nutzen.
Damit Sie CMDlets zum Anlegen von neuen verwalteten Dienstkonten nutzen können, müssen Sie entweder direkt das Active-Directory-Modul für Windows PowerShell starten, oder Sie laden in einer normalen PowerShell-Sitzung mit import-module ActiveDirectory die entsprechenden Befehle. Ein Beispiel für ein Dienstkonto wäre:
New-ADServiceAccount -Name x2k10 -Path "CN=Managed Service Accounts,DC=contoso,DC=com".
Hierbei legen Sie ein neues verwaltetes Dienstkonto mit der Bezeichnung x2k10 in der OU Managed Service Accounts in der Domäne contoso.com an. Mit dem folgenden Befehl aktivieren Sie das Dienstkonto auch gleich:
New-ADServiceAccount -Name <Beliebiger einzigartiger Name> -Enabled $true
Als Nächstes verbinden Sie das erstellte verwaltete Dienstkonto mit einem Computerkonto im Active Directory. Dazu nutzen Sie folgenden Befehl:
Add-ADComputerServiceAccount -Identity <Zielcomputer> -ServiceAccount <Erstelltes Dienstkonto>