Group Managed Service Account yani GMSA hesabı ile ilgili tüm detayları bu yazımızda paylaşacağız. Bu yazımızda hesap oluşturmadan makinede aktif edilmesine kadar her türlü notu bulabilirsiniz.
GMSA Domain Control tarafından yönetilen bir hizmet hesabıdır. Eski sistemlerde servislere verilen parolalar unutulabiliyordu veya farklı nedenlerden bulunamamaktaydı. Kritik servis hesaplarının şifrelerinin değiştirilmesi sistemlere zarar verebileceğinden , GMSA hesabı oluşturuldu. Bu hesap sayesinde parolasının elle güncellemek yerine Active Directory KDS ( Key Distribution Service) tarafından yönetilmesidir.
GMSA ‘nın en güzel avantajlarından biri ürettiğiniz servis hesabının istenilen sunucularda kullanılması yani birden fazla sunucuda kullanabiliriz.
Bu servis tanımı Server 2012 den sonra ortaya çıkmıştır. Eski işletim sistemine sahip sunucularda bulunmamakla beraber Domain Controller da 2012 olmalıdır.
Key Oluşturma
Öncellikle GMSA hesabı oluşturmak için KDS Root Key’in oluşturulması gerekmektedir. Burada iki noktaya değinmek istiyorum.
- Sistemlerinizde daha önce oluşturulmuş key olabilir bunu Powershell üzerinden kontrol edebilirsiniz.
- Oluşturulmamış ise sizlerin oluşturması gerekmektedir. Burada önemli bir nokta vardır. Gerçek sistemlerde 10 saat beklemeniz gerekmektedir. Bu anahtarın tüm domain controllerda replikasyon işlemini tamamlaması için 10 saat gerekmektedir. Lab ortamında effective time ile hızlıca aktif edebiliyoruz.
Daha önceden oluşturulmuş anahtarları görmek için;
Get-KdsRootKey
İlk defa oluşturuluyorsa;
Add-KdsRootKey -EffectiveImmediately
Lab ortamında hızlandırmak istiyorsak
Add-KDSRootKey -EffectiveTime (Get-Date).AddHours(-10)
Key işlemimizi tamamlandıktan sonra artık hesabımızı oluşturabiliriz.
Group Managed Service Account Account Oluşturma
Aşama 1
Security Group oluşturulması gerekmektedir. Ayrıca bu oluşturulan grubun içerisine bu servis hesabını hangi sunucu veya bilgisayarlarda kullanacaksak onları eklememiz gerekmektedir. İstenirse bu işlemi manuel yapabilirsiniz. Ben burada powershell üzerinden yapacağım.
New-Adgroup -DisplayName GrupAdı -groupscope Global -GroupCategory Security -Name GrupAdı
Add-ADGroupMember -Identity GrupAdı -Members BilgisayarAdı
Aşama 2
Artık servis hesabımızı oluşturabiliriz. Ve grubumuza entegre edebiliriz.
New-ADServiceAccount -Name servishesapadı -dnshostname servishesabınındnskaydı -PrincipalsAllowedToRetrieveManagedPassword oluşturulangrup
Aşama 3
Artık hesabımızı sunucumuzda yüklememiz gerekmektedir. Bunun için kullanacağımız komut aşağıdaki gibidir. Fakat ilk olarak bunu çalıştırdığınızda hata alabilirsiniz. Bu hatanın çözümünde ayrıca paylaştım.
Install-adserviceaccount gmsahesapadı
Bu hatanın sebebi ise Active Directory modüllerinin makine tarafından bilinmemesindendir. Bunu hemen ekleyip deneyebilirsiniz.
Hesabımızı install ettik ve deneyelim. Denemek içinde ;
Test-ADServiceAccount gmsahesapadı
sonuç olarak true alıyorsak hesabımızı bu makinede kullanabiliriz.
Aşama 4
Bu hesabı servislerde , task schedule, IIS Application pool gibi birçok yerde kullanabilirsiniz. Burada küçük bir dip not vereyim task schedule için “Logon as batch Job ” yetkisi isteyebilmektedir. Biz burda herhangi bir serviste deneyelim.
Hesabı girdiniz ve daha sonra servise restart atarak aktif olacaktır. Daha sonra sizlere önerim tamamen test yapabilmek için hesabın şifresini Active Directory’de resetleyin daha sonra sunucunuzdan servisi restart ediniz. Cevap olumlu ise her şey yolunda demektir.
Sonuç olaraBu yazımızda GMSA Account hakkında bilgi verdik ve nasıl oluşturacağımızı gösterdik. Diğer yazılarımızı kategorilerden ve son yazılardan takip edebilirsiniz.