Attribuer un compte MSA (Managed Service Account) à un service Windows

Envoyer

Premièrement, créons un nouveau service Windows que nous appellerons « TestService ». Pour cela, vous pouvez suivre l’article suivant « Configurer une application ou un script en tant que service Windows ».

Ensuite, nous allons créer notre compte MSA que nous appelerons « MSA-ssvc01 » et nous allons le lier à l’ordinateur sur lequel nous avons créé le service Windows. Si vous avez besoin d’aide pour la création et la configuration du compte MSA, vous pouvez vous appuyez sur l’exemple de création présenté depuis l'article suivant  « Exemple de création d’un MSA (Managed Service Account) ».

Désormais, nous allons nous occuper de la configuration du service Windows. Ouvrez donc la console « Services » à l’aide de la commande « services.msc » depuis « Démarrer | Exécuter » et mettez la main sur votre service personnalisé « TestService ».

 

 

 

 

 

 

 

A l’aide d’un clic droit sur le service, sélectionnez « Propriétés » et rendez-vous ensuite dans l’onglet  « Connexion ». Choisissez le bouton radio « Ce compte : » et cliquez sur le bouton « Parcourir… ». Pensez à définir l’emplacement correspondant à votre domaine et entrez le nom du compte MSA que vous avez créé préalablement (exemple : MSA-ssvc01). Validez la sélection du compte.

 

 

 

 

 

 

 

 

 


Une fois revenu dans l’onglet « Connexion » et avant de cliquer sur le bouton « OK », videz les champs « Mot de passe » et « Confirmer le mot de passe ». Vous devriez recevoir un message confirmant que le compte de service a reçu le privilège « Ouvrir un session en tant que service ».

 

 

 

 

 

 

 

 

 

Remarque: si vous réalisez l’opération sur un contrôleur de domaine, vous allez devoir modifier la stratégie de groupe « Stratégie des contrôleurs de domaine par défaut » pour autoriser le compte MSA à obtenir le privilège « Ouvrir une session en tant que service ».

 

Pour vérifier que le service s’exécute correctement, faites un clic droit dessus et sélectionnez l’action « Démarrer ». Le service devrait être dans l’état « Démarré ».

 

 

 

 

 

 

Toutefois et si, lorsque vous démarrez le service, vous obtenez l’erreur 1069 « L’échec d’une ouverture de session a empêché le démarrage du service » alors cela signifie que vous n’avez pas lancé la cmdlet PowerShell « Install-ADServerviceAccount » sur le serveur ou que le privilège « Ouvrir une session en tant que service » n’a pas été accordé au compte MSA (utilisez la commande GPRESULT pour vérifier).

 

 

 


 

 

 

 

 

How to Find Active Directory Schema Update History by Using PowerShell

Mise à jour le Mercredi, 14 Août 2013 09:33