Mit dem Windows Server 2008 R2, hielten die Managed Service Account(MSA) Einzug in die Windows Domänen.
Das sind ganz einfach gesagt Benutzerkonten, die sich nur als Service-Konten für lokale Windows Dienste verwenden lassen.
Man kann über diese Konten keinerlei Anmeldungen an irgendwelchen Clients oder Servern der Domäne durchführen.
Es ist auch nicht möglich, das diese Managed Services Account einen Windows Dienst bedienen, der über das Netzwerk auf andere Server oder Clients zugreifen muss oder Datenbankzugriffe benötigt. Für solche Zwecke gibt es die SPN User
Ein wesentlicher Vorteil eines Managed Services Account ist es, das hier kein Password vergeben wird. Die Kennwortvergabe erfolgt komplett im Hintergrund über das Active Directory und benötigt kein eingreifen des Administrators.
Managed Service Account User Einrichten
Zur Besseren Übersicht, empfehle ich im ActiveDirectory eine eigene OU z.B. mit dem Namen „Managed Service Account“ zu erstellen.
Danach öffnet man die Powershell mit dem AD-Modul.
In der Powershell erstellt man nun den Service Account innerhalb unserer jeweiligen OU.
In unserem Beispiel ist der username „TestAccount“ in der Domäne „domain.com“
New-ADServiceAccount -Name TestAccount -Path "CN=Managed Service Accounts,DC=domain,DC=com"
Jetzt sollte der neue User im AD zu finden sein.
Diesen Benutzer kann man nun am Client oder an anderen Servern als Service-User in den Windows Diensten hinterlegen.
Das Kennwort Feld für den User bleibt beim jeweiligen Dienst einfach leer.
Einrichtung über Tools
Wer lieber die Maus bedienen will, für den gibt es auch ein GUI Tool zum erstellen des Managed Service Account.
Das Tool steht hier zum Download bereit
http://www.cjwdev.co.uk/Software/MSAGUI/Info.html
Dieser Artikel hat mir sehr geholfen. Mit dem Einrichten meines Managed Service Accounts beschäftige ich mich im Moment. Jetzt weiß ich, was zu tun ist.