Exemple de création d’un MSA (Managed Service Account)

Envoyer

Windows Server 2008 R2 introduit des objets d’un nouveau type assimilables à des comptes de service. Il s’agit des « Managed Service Account » ou « MSA ». La création et la configuration d’un MSA passe exclusivement par des cmdlets PowerShell que nous allons vous présentez au sein de cet article.

Tout d’abord, ouvrez une console PowerShell et importez le module « Active Directory » à l’aide de la commande « Import-Module ActiveDirectory ». Cela permettra d’utiliser les cmdlets nécessaires à la création d’un MSA.

 

Ensuite, nous allons créer notre MSA à l’aide de la commande « New-ADServiceAccount –Name MSA-Web01 –ServicePrincipalNames ‘Web/IISSRV01.corpnet.net’ –Enabled $true ». Dans notre exemple, cette commande va nous créer le compte de service « MSA-Web01 » dans le conteneur par défaut (le paramètre –Path <DN> vous permettra de spécifier un autre emplacement). Il également possible de spécifier un ou plusieurs SPN avec le paramètre « ServicePrincipalNames »  (paramètre optionnel).

 

Pour terminer, nous allons lier notre objet MSA à une machine car un compte MSA ne peut être lié qu’à une seule machine.

Pour cela, saisissez la commande « Add-ADComputerServiceAccount –Identity IISSRV01 –ServiceAccount MSA-Web01 ». Dans cet exemple, nous lions le compte « MSA-Web01 » à l’ordinateur « IISSRV01 ».

 

En fait, La commande alimente la propriété « msDS-HostServiceAccount » de l’objet ordinateur « IISSRV01 ».

Vous pouvez le vérifier via la console « Utilisateurs et ordinateurs Active Directory » (pensez à activer préalablement le mode « Fonctionnalités avancées » pour visualiser le conteneur « Manager Service Accounts ») et en accédant à l’éditeur d’attributs depuis les propriétés de l’objet MSA.

 

 

 

 

 

 

 

 

 

 

L’ultime étape est de configurer localement sur la machine concernée la commande « Install-ADServiceAccount –Identity MSA-Web01 ». Cela va permettre de valider que le MSA est éligible sur l’ordinateur et également faire les modifications nécessaires pour que la machine locale soit capable de gérer le mot de passe de manière autonome.

 

 

 

 

How to Find Active Directory Schema Update History by Using PowerShell

Mise à jour le Mercredi, 14 Août 2013 07:29