Metsys - Mise en place de comptes gMSA -

Sommaire

- - Les comptes gMSA sont compatibles avec les applications ci-dessous:

1. Créer des comptes gMSA
- a. Managed service accounts GUI :
- b. PowerShell :

Bonjour à tous,

Voici un nouvel article sur la mise en place de comptes gMSA.

Habituellement, nous utilisons tous des comptes de services avec mots de passe.

Qui dit mot de passe, dit problème potentiel de piratage ! Sachant que les mots de passe des comptes de services ne sont en règle générale jamais changés car cela demande beaucoup de temps.

Pour pallier à ces problèmes de motsde passe sur les comptes de services, Microsoft a d’abord sorti les comptes MSA avec Windows 2008.

Les gMSA (« Group Managed Service Accounts ») sont ensuite apparus avec Windows Server 2012, lesquels sont une amélioration des comptes MSA permettant l’utilisation d’un compte sur un seul et unique ordinateur.

Les comptes MSA ne permettaient pas d’utiliser un seul compte pour plusieurs ordinateurs.

Les comptes MSA n’étaient supportés que pour quelques applications.

gMSA est un compte de services associé à un groupe de sécurité dans lequel seront ajoutés les ordinateurs autorisés à utiliser ce compte.

Les comptes gMSA sont compatibles avec les applications ci-dessous:

Sur plusieurs machines
Pour des tâches planifiées
Pour IIS, ADFS, SQL Server, …
Pour des services Windows

1. Créer des comptes gMSA

Pour pouvoir créer des comptes gMSA, il faudra générer la clé racine KDS de Distribution des clés Services.

Pour cela, lancer une console PowerShell et exécuter le code PowerShell ci-dessous:

Cette clé sera ensuite répliquée sur l’ensemble des contrôleurs de domaine. Par sécurité, il est nécessaire d’attendre 10H pour s’assurer que tout est bien répliqué.

Nous allons maintenant pouvoir créer nos gMSA.

Deux possibilités pour créer ces comptes:

Avec l’outil graphique “Managed service accounts GUI” téléchargeable ici.
PowerShell

a. Managed service accounts GUI :

Il vous suffit simplement d’ajouter le nouveau compte avec “New”

Donnez-lui un nom et choisissez l’OU dans votre Active Directory où vous souhaitez le stocker.

Votre compte est maintenant créé.

Pour que ce compte fonctionne, il faudra l’attribuer à l’ordinateur autorisé à l’utiliser.

Le compte gMSA peut maintenant être utilisé sur le serveur.

On va également vérifier la présence du compte dans l’Active Directory.

b. PowerShell :

Idem en PowerShell, mais dans cet exemple, nous allons attribuer un groupe d’ordinateurs au compte gMSA.

Sur notre serveur autorisé à utiliser notre compte gMSA , nous allons enfin, configurer le service concerné (dans notre exemple un service “SQL“).

Dans cet article, nous avons pu voir la mise en place de comptes gMSA qui apportent beaucoup plus de sécurité qu’un compte de services avec mots de passe.

Je vous dis à très bientôt.

2 réponses sur “Mise en place de comptes gMSA”

Bonjour,
Comment faut-il faire en Powershell, pour attribuer le compte GMSA à un service Windows ?
Merci

Répondre

Bonjour ,

Il est dommage de ne pas pouvoir copier les commandes présentes dans ton article 🙂

Répondre

Cookie	Durée	Description
cf_ob_info	Aucun	Cookie généré par Cloudflare pour délivrer des informations sur le statut HTTP retourné et corriger les éventuelles erreurs liées à celui-ci.
cf_use_ob	Aucune	Cookie généré par Cloudflare afin d'améliorer le temps de chargement du site et gérer les restrictions de sécurité de l'adresse IP du visiteur.
cookielawinfo-checkbox-advertisement	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Publicitaire".
cookielawinfo-checkbox-analytics	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Analytique".
cookielawinfo-checkbox-necessary	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Essentiel".
cookielawinfo-checkbox-others	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Performance".
PHPSESSID	Session	Cookie natif aux applications PHP. Il sert à stocker l'identifiant unique de session d'un utilisateur afin de proposer la meilleure expérience possible sur le site. Celui-ci est ensuite supprimé une fois que l'utilisateur ferme son navigateur.
viewed_cookie_policy	1 an	Cookie généré par le plugin "GDPR Cookie Consent" permettant de stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies sur ce site. Aucune donnée personnelle n'est stockée à l'issue de cette opération.
__cfruid	Session	Cookie généré par Cloudflare dans le but de répartir la charge sur le site web et d'identifier le traffic web.

Cookie	Durée	Description
cluid	9 heures	Cookie utilisé dans le cadre de multiples domaines existants pour identifier un seul et même visiteurs sur plusieurs domaines.
CONSENT	16 ans 5 mois 15 jours 7 heures	Cookie généré par Youtube pour pister les informations remontées par les vidéos Youtube affichées sur le site Metsys. Ils récupèrent de façon anonyme des informations statistiques sur le nombre de fois où la vidéo est affichée et les paramètres de lecture de celle-ci. Aucune donnée personnelle n'est récupérée lors de cette opération, sauf si vous êtes connecté à votre compte Google. Dans ce cas vos choix se trouvent liés à votre compte, comme par exemple si vous likez cette vidéo.
_ga	2 ans	Cookie installé par Google Analytics pour récupérer des données sur le visiteur, sa session, les campagnes de données mais aussi analyser le parcours de l'utilisateur afin de générer des graphiques sur l'interface administrateur. Ces cookies emmagasinent les informations de manière anonyme et attribuent un chiffre au hasard pour identifier chaque visiteur unique.
_ga_CBJ47W3093	2 ans	Cookie installé par Google Analytics pour s'assurer de son bon fonctionnement.

Cookie	Durée	Description
IDE	1 an 24 jours	Cookie utilisé par Google DoubleClick qui emmagasine les informations sur l'utilisation du site web par les visiteurs sur les publicités consultées avant l'arrivée sur le site. Celui-ci permet d'afficher à l'utilisateur des publicités personnalisées en fonction de leur profil.
test_cookie	15 minutes	Cookie généré par doubleclick.net pour déterminer si le navigateur internet du visiteur du site supporte les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie généré par Youtube pour pister les informations remontées par les vidéos Youtube affichées sur le blog Metsys.
YSC	Session	Cookie généré par Youtube pour récupérer le nombre de vues sur les vidéos ajoutées sur le site Metsys.

Cookie	Durée	Description
cookielawinfo-checkbox-functional	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Fonctionnel".
eqy_sessionid	Session	Cookie généré par la solution Get Quanty permettant l'analyse de l'utilisateur sur le site Metsys.
eqy_siteid	Aucune	Cookie généré par la solution Get Quanty permettant d'identifier le site Metsys pour pouvoir l'analyser.
yt-remote-connected-devices	Aucune	Cookie à analyser
yt-remote-device-id	Aucune	Cookie à analyser

Mise en place de comptes gMSA

Les comptes gMSA sont compatibles avec les applications ci-dessous:

1. Créer des comptes gMSA

a. Managed service accounts GUI :

b. PowerShell :

A propos de l'auteur

2 réponses sur “Mise en place de comptes gMSA”

Laisser un commentaire Annuler la réponse