Delegated Managed Service Account Windows Server 2025 Active Directory yazımda sizlere AD 2025 ile gelen yeni hesap tipinden bahsedeceğim. DMSA account geleneksel olarak kullandığımız MSA ve GMSA accountlarının güvenlik problemlerini gidermek için tasarlanmış yeni bir hesap türüdür.
İlk olarak bu aşamada servis hesap tiplerini incelemek gerekmektedir.
Regular Service account
- Bu hesap Active Directory’de oluşturulan normal hesaplardır.
- Bu hesapların şifre değişikliği manuel olarak yapılmaktadır. Genellikle password nexer expire özelliği seçilir.
- Hesabın şifre değişikliği sırasında ilgili servislerin bulunup manuel olarak değiştirilmesi gerekir.
Managed Service Account
MSA olarak bilinen hesaplar sadece belli bir sunucudaki servisleri çalıştırmamıza olanak sağlamaktadır. Fakat bu hesap farklı sunucularda kullanımı olmamaktadır. Bu yüzden kısıtlı olarak karşımıza çıkmaktadır.
Group Managed Service Account
MSA hesaplarından sonra gelen en önemli hesap GMSA accountlardır. Bu hesaplar MSA gibi çalışır fakat önemli olarak birden fazla sunucuya veya gruba atanma şansı olmaktadır. Kullanım alanları bu sebepten dolayı artmaktadır özellikle clustered ortamlarda kullanma şansı doğurmaktadır. GMSA hesaplar için AD şifre döngüsünü belirler ve parolayı düzenli olarak kompleks şekilde değiştirmektedir. Domain Controller tarafından belirlenen bu şifreler KDC Root Key, GMSA SID ve zaman bilgisine bağlı olarak otomatik oluşur ve sunucuya gönderilir. Bu özelliği sayesinde regular servis hesapları gibi şifre değişikliğinde manuel değişikliğe gerek duymamaktadır. Ayrıca GMSA hesapları nasıl oluşturulur diğer yazımdan inceleyebilirsiniz.
Delegated Managed Service Account
Windows Server 2025 AD ile gelen hesap tipimizdir. Bu hesap yukarıda bahsettiğimiz hesap tipleri ile bazı özellikleri aynı iken güvenlik anlamında yeni özellikler kazanmıştır. DMSA hesaplar tıpkı GMSA hesap gibi birden çok sunucuda kullanılabilir. Şifrelerini otomatik olarak değiştirmektedir. Ayrıca normal servis hesapları DMSA olarak migrate edilebilmektedir. Yazının devamında örneklerle açıklayacağız. Bu aşamada önemli olan farklılıklarıdır.
İlk olarak dmsa hesapları authentication’da makine kimlikleri ile sınırlar yani sadece AD’de bulunan makine kimlik bilgisine sahip hesaplar bu hesaba erişebilir. Bu özellikte gmsa hesaplarından ayrılır. GMSA hesapları makine tarafından oluşturulan ve otomatik döndürülen şifreler makine bağlı olmadığından çalınabilir. Fakat DMSA hesaplarda durum makine kimliğine bağlıdır.
En önemli farklılıklardan biride DMSA, random olarak ürettiği secret Domain controller tarafından tutulur. Bu secret gmsa gibi periyodik olarak güncellenir fakat DC dışında başka bir yerde bulunmaz.
Peki bu hesapları nasıl oluşturacağız veya mevcut servis hesapları nasıl DMSA olarak geçiş şağlayacağız.
Create DMSA Account
İlk olarak yeni bir dmsa account nasıl create edilir bunu göreceğiz. Bunun için Active Directory yapısında powershell üzerinden hesabımızı create edeceğiz.
Hesabımızı komut ile create etmekteyiz.
New-ADServiceAccount -Name "Dmsaaccount1" -DNSHostName "dmsaaccount1.volsys.com" -CreateDelegatedServiceAccount:$true -KerberosEncryptionType AES256


İkinci olarak sunucumuzu belirlemekteyiz.
Set-ADServiceAccount -Identity "dmsaaccount1" -PrincipalsAllowedToRetrieveManagedPassword "MEMBERSERVER01$"

Sonraki adımımızda MSDS-DelegatedMSAState durumunu kontrol etmekteyiz. Bu değeri 3 olarak değiştirmemiz gerekmektedir. Bunu manuel olarak da yapabiliriz veya powershell ile set edebiliriz.



Hesabımız create edilmiştir. Şimdi bu hesabı sunucumuzda kullanmaya geldi.Hesabın password’ini yönetecek sunucudayız.

Bu sunucuda çalıştırmak için registry veya group policy üzerinden yeni policy uygulamamız gerekmektedir.
Computer Configuration\Administrative Templates\System\Kerberos\Enable Delegated Managed Service Account logons -- Enabled

veya regedit üzerinden
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
DelegatedMSAEnabled=1 (REG_DWORD)

Sonrasında Servislerden birine hesabımızı seçtik ve password girişi yapmadık.Servisimize restart atmaktayız.

Şimdi hesabımızın durumunu EventViewer’dan bakalım.
Applications and Services and navigate to Microsoft\Windows\Security-Kerberos\Operational. logumuzu enable etmekteyiz.

Sonrasında loglarımızı görebilmekteyiz.
309 logumuz Domain Controller’dan dmsa anahtarı getirmeye çalıştığını göstermektedir. 2 logumuz daha var 307 ve 308 onları ise migration kısmında göreceğiz.

Şimdi sıra geldi mevcut hesaplarımızı nasıl migrate edeceğiz.
Migrate Service Account to DMSA
Burada önemli bir not düşmek gerekmektedir. MS bu konudaki ilk maddesi
“You can’t migrate from a managed service account or a gMSA to a dMSA.”
MSA veya GMSA hesapları DMSA olarak migrate edilemez. Burada migrate edilebilecek hesap normal oluşturulan ve servislere bağlanan hesaplardır. Yani bizler AD de bir hesap oluşturduk bu hesabı bir serviste kullanıyoruz bu hesabı DMSA çevirebiliriz.
Örneğimizde herhangi bir servis hesabı olsun bu hesap windows servis için kullanılsın ;

Audio Servisine atanmış olsun.

Bu hesabımızı DMSA olarak migrate edelim. Öncellikle DMSA hesabımızı oluşturalım.
New-ADServiceAccount -name dmsaaudio -DNSHostName dmsaaudio.volsys.com -CreateDelegatedServiceAccount -KerberosEncryptionType AES256

Sonrasında Delegated state ve Managed Password kontrolü yapacağız.
Get-ADServiceAccount -Identity dmsaaudio -Properties PrincipalsAllowedToRetrieveManagedPassword, msDS-DelegatedMSAState

Şimdi hesabımızı migrate başlayalım.
-SupersededAccount kısmına kullanılan servis hesabının DN yazdık.
Start-ADServiceAccountMigration -Identity dmsaaudio -SupersededAccount "CN=ServiceAcccount,CN=Users,DC=volsys,DC=com"

DelagatedMSAState 1 olarak değişti.
The numerical attributes set for the account indicates that:
- 1 – Account migration başlatıldı
- 2 – Account migration bitti.

Bu işlemden sonra Servisimize restart atmaktayız ve tekrardan kontrol ettimizde PrincipalsAllowedToRetrieveManagedPassword sunucumuzun geldiğini göreceğiz.


Bu aşamada bir yanlışlık yaptıysak geri dönme ve resetleme şansımız vardır.
Undo-ADServiceAccountMigration -Identity dmsaname -SupersededAccount <Superseded-Service-DN>
Reset-ADServiceAccountMigration -Identity dmsaname -SupersededAccount <Superseded-Service-DN>
Herşey yolundaysa complete etme zamanı gelmiştir.
Complete-ADServiceAccountMigration -Identity dmsaaudio -SupersededAccount "CN=ServiceAcccount,CN=Users,DC=volsys,DC=com"

Daha sonrasında durumları tekrardan kontrol etmekteyiz.

Bu aşamadan sonra servisimize restart atmaktayız.
Servis hesabımız Migration complete olması ile beraber disable duruma geçmektedir.

Ayrıca Servis restartından sonra eventler oluşmaya başlamaktadır.

Event id 309 ile beraber DMSA key fetch olduğunu görmekteyiz.

Sonuç olarak Delegated Managed Service Account yazımızda sizlere Windows Server 2025 ile beraber gelen DMSA hesabının detaylarına değinmiş olduk.Diğer yazılarımı aşağıdaki kategorilerden takip edebilirsiniz.
Tüm detaylar için Referans link.