Zugriffsmanagement mit gMSA

IT Asset Management (Cloud)

Ein gruppenverwaltetes Dienstkonto (gMSA) ist ein Dienstkontentyp in Windows Server, der vor allem dazu konzipiert wurde, eine bessere Verwaltung, höhere Sicherheit und mehr Zugriffskontrolle für Dienste, Aufgaben und Anwendungen zu bieten, die auf mehreren Servern ausgeführt werden.

Sie können ein gMSA für die Anmeldedaten von Inventardatenquellen durch SQL-basierte Konnektoren von Fremdanbietern (z. B. SCCM) verwenden.

Die Unterstützung weiterer Tools für das Zugriffsmanagement wird in künftigen Versionen von IT Asset Management zur Verfügung gestellt werden.

Um ein gMSA für die Anmeldedaten von Inventardatenquellen zu verwenden, folgen Sie der Anleitung in den folgenden Abschnitten:

  1. Voraussetzungen
  2. Konfiguration der Inventarisierungsstation (des Beacon-Servers) für die Verwendung eines gMSA
  3. Herstellen einer Verbindung zu SQL-basierten Inventardatenquellen von Fremdanbietern mit einem gMSA
Die folgenden Hilfethemen enthalten außerdem Informationen zu zusätzlichen Tasks/Aufgaben, die Sie evtl. ausführen müssen, und zu möglichen Problemen, die auftreten können:

Voraussetzungen

  • Active Directory mit mindestens einem Domänencontroller auf Windows Server ab Version 2012
  • PowerShell, das auf einem Rechner mit administrativen Rechten installiert ist
  • Ein Computerkonto oder eine Sicherheitsgruppe zur Angabe autorisierter Hosts
Hinweis: Ein bereits eingerichteter Domänencontroller wird bei dieser Anleitung vorausgesetzt. Wenn Sie diesen noch nicht eingerichtet haben, finden Sie die Anleitung dazu unter Konfigurieren eines Domänencontrollers unter Windows Server.

Konfiguration der Inventarisierungsstation (des Beacon-Servers) für die Verwendung eines gMSA

Hinweis:
  • Der Name eines gMSA muss mit einem $-Zeichen enden, wenn es in Konfigurationen verwendet wird.
  • Für gMSAs muss der Stammschlüssel (Root-Key) des Schlüsselverteilungsdienstes (Key Distribution Service, kurz KDS) in Active Directory eingerichtet sein.
  1. Erstellen Sie den KDS-Stammschlüssel. Den KDS-Stammschlüssel benötigt Active Directory zum Generieren und Verwalten von gMSA-Kennwörtern.
    Hinweis: Dies ist eine einmalige Einrichtung.
    1. Melden Sie sich bei einem Domänencontroller an.
    2. Öffnen Sie PowerShell als Administrator.
    3. Führen Sie den folgenden Befehl aus:
      Get-KdsRootKey

      Wenn ein Wert vorhanden ist, überspringen Sie den nächsten Schritt und machen Sie direkt mit dem Erstellen der Sicherheitsgruppe für gMSA-Hosts weiter.

    4. Erstellen Sie den KDS-Stammschlüssel durch Ausführen des folgenden Befehls:
      Add-KdsRootKey -EffectiveImmediately
      Hinweis: Es dauert etwa 10 Stunden, bis der Schlüssel Gültigkeit erlangt.
      Führen Sie für ältere Domänen oder sofortige Gültigkeit alternativ den folgenden Befehl aus:
      Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
      Hinweis: Dieser Befehl sorgt dafür, dass der Schlüssel sofort verfügbar ist.
  2. Erstellen Sie die Sicherheitsgruppe für gMSA-Hosts.
    Hinweis: Eine Sicherheitsgruppe definiert, welche Computer das gMSA nutzen können.
    1. Öffnen Sie Active Directory-Benutzer und -Computer.
    2. Erstellen Sie eine Sicherheitsgruppe, zum Beisiel gmsaservers.
    3. Fügen Sie als Mitglieder dieser Gruppe alle Computer hinzu, die das gMSA nutzen werden.
  3. Erstellen Sie das gMSA.
    1. Öffnen Sie PowerShell auf einem Domänencontroller.
    2. Führen Sie den folgenden Befehl aus, um das gMSA zu erstellen, wobei Sie die Variablen durch Ihre eigenen Werte ersetzen:
      • Ersetzen Sie <gMSAName> durch den gewünschten Namen für Ihr gMSA, zum Beispiel endpointgMSA.
      • Ersetzen Sie <DomainName> durch den Namen Ihrer Domäne, zum Beispiel endpoint.flexbeacon.com.
      • Ersetzen Sie <GroupName> durch den Namen der Sicherheitsgruppe, die Sie zuvor angelegt haben, zum Beisiel gmsaservers.
      New-ADServiceAccount -Name "<gMSAName>" -DNSHostName "<DomainName>" -PrincipalsAllowedToRetrieveManagedPassword "<GroupName>"
      Beispiel:
      New-ADServiceAccount -Name "endpointgMSA" -DNSHostName "endpoint.flexbeacon.com" -PrincipalsAllowedToRetrieveManagedPassword "gmsaservers"
    3. Überprüfen Sie unter Active Directory-Benutzer und -Computer > Verwaltete Dienstkonten, ob das gMSA vorhanden ist.
    4. Überprüfen Sie die Details des gMSA durch Ausführen des folgenden Befehls in PowerShell, wobei <gMSAName> dem Namen entspricht, den Sie Ihrem gMSA zugewiesen haben:
      Get-ADServiceAccount -Identity <gMSAName>
  4. Installieren Sie das gMSA auf dem Zielserver.
    Tipp: Wenn Sie bei der Installation des gMSA auf Probleme stoßen, sehen Sie unter Fehlerbehebung: Installation des gMSA nach.
    1. Melden Sie sich mit Administrator-Anmeldeinformationen bei der Windows Server-Instanz an.
    2. Vergewissern Sie sich, dass der Computer mit der Domäne verknüpft ist, um auf das gMSA zugreifen zu können. Wenn der Computer nicht mit der Domäne verknüpft ist, sehen Sie unter Verknüpfen des Computers mit der Domäne nach.
    3. Stellen Sie sicher, dass der Name des Domänencontrollers vom aktuellen Server aufgelöst werden kann. Wenn die Domäne von den vorhandenen DNS-Servern nicht aufgelöst werden kann, sehen Sie unter Aktualisieren der DNS-Servereinstellungen nach.
    4. Fügen Sie der Sicherheitsgruppe das vom gMSA genutzte Zielgerät hinzu.
      1. Gehen Sie zum Domänencontroller und öffnen Sie Active Directory-Benutzer und -Gruppen.
      2. Wählen Sie die zuvor erstellte Gruppe aus (z. B. gmsaservers) und fügen Sie der Gruppe den neu erstellten Server hinzu.
      3. Starten Sie das Zielgerät neu, und führen Sie den Befehl gpupdate (zum Aktualisieren der Gruppenrichtlinie) auf dem Zielgerät aus.
    5. Installieren Sie das gMSA auf dem Zielgerät, indem Sie die PowerShell mit heraufgesetzten Berechtigungen starten und den folgenden Befehl ausführen, wobei <gMSAName> dem Namen entspricht, der beim Aktivieren des gMSA auf dem Domänencontroller verwendet wurde.
      Install-ADServiceAccount -Identity "<gMSAName>"
    6. Überprüfen Sie die Installation durch Ausführen des folgenden Befehls:
      Test-ADServiceAccount -Identity "<gMSAName>"

      Wenn die Installation erfolgreich war, meldet der Befehl den Wert True zurück.

    7. Fügen Sie das gMSA auf dem lokalen Rechner als Admin hinzu.
      1. Folgen Sie dem Pfad Lokale Benutzer und Gruppen > Gruppen > Administratoren > Mitglieder und klicken Sie auf Hinzufügen.
      2. Wählen Sie den gMSA-Namen (z. B. endpointgMSA$) aus und klicken Sie auf OK.
  5. Konfigurieren Sie das gMSA auf der Inventarisierungsstation/dem Beacon-Server.
    Tipp: Wenn Sie bei der Konfiguration des gSMA auf der Inventarisierungsstation/dem Beacon-Server auf Probleme stoßen, sehen Sie unter Fehlerbehebung: Konfiguration des gMSA auf der Inventarisierungsstation/dem Beacon-Server nach.
    1. Fügen Sie der Gruppe Admin lokale Benutzer das gMSA hinzu, um Fehler beim Zugriff auf den Temp-Ordner oder auf Registrys zu vermeiden.
    2. Installieren Sie die Software FlexNet Beacon.
    3. Konfigurieren Sie den FlexNet Beacon-Engine-Service, um das gMSA zu nutzen.
      1. Öffnen Sie Services (services.msc).
      2. Suchen Sie den FlexNet Beacon-Engine-Service, rechtsklicken Sie darauf, und wählen Sie Properties (Eigenschaften).
      3. Wechseln Sie auf die Registerkarte Log On (Anmelden) und wählen Sie This Account (Dieses Konto).
      4. Klicken Sie auf From this location (Von diesem Ort), und wählen Sie Entire Directory (Gesamtes Verzeichnis).
      5. Suchen Sie nach dem Namen des gMSA und fügen Sie das gMSA hinzu. Das gMSA wird mit einem „$“-Zeichen am Ende hinzugefügt, zum Beispiel endpointgMSA$.
      6. Lassen Sie die Kennwortfelder leer, da das Kennwort vom gMSA verwaltet wird.
      7. Übernehmen und speichern Sie die Änderungen.
      8. Starten Sie den Service neu.

Herstellen einer Verbindung zu SQL-basierten Inventardatenquellen von Fremdanbietern mit dem gMSA

  1. Erstellen Sie ein neues Inventarisierungssystem und konfigurieren Sie es für die Verwendung des gMSA in FlexNet Beacon.
    1. Führen Sie die Anwendung FlexNet Beacon aus.
    2. Gehen Sie zu Inventory systems (Inventarisierungssysteme) und klicken Sie auf Add (Hinzufügen).
    3. Geben Sie im Fenster Edit SQL Source Connection (SQL-Quellverbindung bearbeiten) die Verbindungsdetails wie Connection Name (Verbindungsname), Source Type (Quelltyp) (z. B. SCCM) und Server ein.
    4. Wählen Sie Basic Authentication (Basisauthentifizierung) aus. Wenn diese Option ausgewählt ist, wird das gMSA so verwendet, wie es für die Beacon-Engine konfiguriert wurde.
    5. Wählen Sie den Datenbanknamen und klicken Sie auf Save (Speichern).
  2. Richten Sie den SQL-Server-Service zur Nutzung des gMSA ein.
    1. Öffnen Sie SQL Server Configuration Manager (SQL-Server-Konfigurationsmanager).
    2. Suchen Sie den SQL-Server-Service, den Sie konfigurieren möchten, zum Beispiel SQL Server (MSSQLSERVER).
    3. Rechtsklicken Sie auf den Service, wählen Sie Properties (Eigenschaften), und wechseln Sie auf die Registerkarte Log On (Anmelden).
    4. Wählen Sie This account (Dieses Konto), geben Sie den Namen des gMSA ein (z. B. epgmsatest$), lassen Sie die Kennwortfelder leer, und klicken Sie auf OK.
    5. Starten Sie den SQL-Server-Service neu.
    6. Öffnen Sie SQL Server Management Studio (SSMS).
    7. Verbinden Sie sich mit der SQL-Server-Instanz.
    8. Führen Sie die folgenden SQL-Befehle aus, um dem gMSA die erforderlichen Berechtigungen einzuräumen. Ersetzen Sie die Variablen durch Ihre eigenen Werte und passen Sie die Rechte Ihren Erfordernissen entsprechend an.
      --Erstellen eines Logins für das gMSA
CREATE LOGIN [YourDomain\YourGMSAName$] FROM WINDOWS;
--Vergeben der erforderlichen Berechtigungen auf Serverebene
ALTER SERVER ROLE sysadmin ADD MEMBER [YourDomain\YourGMSAName$];

Zusätzliche Tasks/Aufgaben

Die folgenden Abschnitte enthalten einige Informationen zu zusätzlichen Tasks/Aufgaben, die Sie evtl. durchführen müssen.

Konfigurieren eines Domänencontrollers unter Windows Server

Führen Sie die folgenden Schritte durch, um einen Domänencontroller unter Windows Server zu konfigurieren:
  1. Bereiten Sie den Server vor.
    1. Installieren Sie eine unterstützte Version von Windows Server.
    2. Gehen Sie zu Netzwerk- und Freigabecenter, legen Sie eine statische IP-Adresse für den Server fest, und erfassen Sie die Details für den Domänennamenserver (DNS).
    3. (Optional) Benennen Sie den Server um, und geben Sie ihm zur leichteren Identifizierung in der Domäne einen Namen mit Bedeutung (z. B. EndpunktDC). Der Name des Servers kann unter dem Pfad Systemsteuerung > System und Sicherheit > System geändert werden. Starten Sie den Server nach der Umbenennung neu.
    4. Installieren Sie die jüngsten Updates und Patches auf dem Server, um Sicherheit und Stabilität zu gewährleisten.
  2. Installieren Sie die Rolle „Active Directory Domain Services“.
    1. Starten Sie den Server-Manager und klicken Sie auf Rollen und Features hinzufügen.
    2. Wählen Sie entweder rollenbasierte oder featurebasierte Installation aus.
    3. Wählen Sie einen Server aus der Liste aus.
    4. Fügen Sie die Rolle Active Directory Domain Services (AD DS) hinzu.
    5. Fügen Sie auf Aufforderung die erforderlichen Features hinzu.
    6. Starten Sie auf Aufforderung den Server neu.
  3. Stufen Sie den Server zu einem Domänencontroller herauf.
    1. Klicken Sie im Server-Manager auf das dreieckige Warnsymbol und wählen Sie Server zu einem Domänencontroller heraufstufen.
    2. Wählen Sie eine der folgenden Optionen für die Bereitstellungskonfiguration:
      • Neue Gesamtstruktur hinzufügen: Wählen Sie diese Option, wenn es sich um den ersten Domänencontroller im Netzwerk handelt.
      • Domänencontroller zu einer vorhandenen Domäne hinzufügen: Wählen Sie diese Option, wenn die Domäne bereits vorhanden ist.
    3. Konfigurieren der Domäne:
      • Wenn Sie Neue Gesamtstruktur hinzufügen gewählt haben, geben Sie den Namen einer Stammdomäne ein, zum Beispiel „gmsatest.endpoint.com“.
      • Wenn Sie Domänencontroller zu einer vorhandenen Domäne hinzufügen gewählt haben, geben Sie die Anmeldeinformationen eines vorhandenen Domänencontrollers ein.
    4. Setzen Sie die Gesamtstrukturfunktionsebene und die Domänenfunktionsebene auf die höchste Ebene, die von allen Servern im Netzwerk unterstützt wird.
    5. Vergeben Sie ein Kennwort für den Verzeichnisdienstewiederherstellungsmodus (Directory Services Restore Mode, DSRM). Dieses wird zum Zwecke der Wiederherstellung verwendet.
    6. Belassen Sie die DNS-Konfigurationsoption bei der Standardeinstellung. Der Installationsassistent wird DNS automatisch konfigurieren.
    7. Überprüfen Sie die Zusammenfassung und klicken Sie auf Installieren. Der Server wird nach Beendigung der Installation neu gestartet.
  4. Überprüfen Sie den Domänencontroller.
    1. Gehen Sie im Server-Manager zu Verwalten > Active Directory-Benuzter und -Computer (ADUC) und vergewissern Sie sich, dass die Domäne betriebsbereit ist.
    2. Verwenden Sie den Befehl nslookup, um die DNS-Auflösung zu überprüfen. Beispiel:
      nslookup epdc.gmsatest.endpoint.com
    3. Wenn es mehrere Domänencontroller gibt, verwenden Sie den folgenden Befehl, um festzustellen, ob die Replikation funktioniert.
      repadmin /replsummary

Verknüpfen des Computers mit der Domäne

Führen Sie die folgenden Schritte aus, um den Computer mit der Domäne zu verknüpfen:

  1. Gehen Sie zu Systemsteuerung > System und Sicherheit > System und klicken Sie auf Einstellungen ändern.
  2. Wählen Sie im Abschnitt Mitglied von anstatt „Arbeitsgruppe“ die Option „Domäne“ aus, und geben Sie dann die Domänendetails und die Anmeldeinformationen des Domänenadmins ein.
  3. Starten Sie das System neu.

Aktualisieren der DNS-Servereinstellungen

Wenn der Name des Domänencontrollers von den vorhandenen DNS-Servern nicht aufgelöst werden kann, führen Sie zum Aktualisieren der DNS-Servereinstellungen die folgenden Schritte durch:

  1. Wählen Sie den Pfad Systemeinstellungen > Netzwerk und Internet > Netzwerk- und Freigabecenter und klicken Sie auf Adaptereinstellungen.
  2. Rechtsklicken Sie auf Ethernet, und wählen Sie Eigenschaften aus.
  3. Wählen Sie TCP/IPv4-Eigenschaften aus, und klicken Sie auf Eigenschaften.
  4. Aktualisieren Sie die DNS-Serveradresse:
    • Setzen Sie einen DNS-Server auf die IP des Domänencontrollers.
    • Setzen Sie den anderen DNS-Server auf die vom Rechner genutzte Adresse des aktuellen DNS-Servers.
      Tipp: Um die aktuellen DNS-Server zu finden, öffnen Sie die Befehlszeile, und führen Sie den folgenden Befehl aus:
      ipconfig /all
    • Klicken Sie auf OK, um die Änderungen zu speichern.

Fehlerbehebung: Installation des gMSA

Die folgende Tabelle enthält die üblichen Fehler, die bei der Installation des gMSA auftreten können.

Fehlermeldung Lösung 
Install-ADServiceAccount : Der Begriff „Install-ADServiceAccount“ wird nicht als Name eines cmdlet, einer Funktion, einer Skriptdatei oder eines ausführbaren Programms erkannt. Prüfen Sie die Schreibweise des Namens oder ob ein Pfad eingebunden wurde, und stellen Sie sicher, dass der Pfad korrekt ist. Versuchen Sie es dann erneut.

Das cmdlet ist Bestandteil des Active Directory-Moduls für die Windows PowerShell. Vergewissern Sie sich, dass das Modul in Ihrem System installiert ist.

Um zu prüfen, ob das Modul verfügbar ist, führen Sie den folgenden Befehl aus:

Get-Module -ListAvailable -Name ActiveDirectory
Wenn das Modul nicht aufgeführt wird, installieren Sie die Remote Server Administration Tools (RSAT) für Ihre Windows-Version:
  • Führen Sie für Windows 10 oder 11 den folgenden Befehl aus:
    Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
  • Führen Sie für Windows Server den folgenden Befehl aus:
    Install-WindowsFeature RSAT-AD-PowerShell
Wenn das Modul installiert ist, aber nicht importiert wird, importieren Sie es mit dem folgenden Befehl manuell:
Import-Module ActiveDirectory
 
Install-ADServiceAccount : Dienstkonto kann nicht installiert werden. 
Fehlermeldung: '{Zugriff verweigert}
Ein Prozess hat Zugriff auf ein Objekt verlangt, verfügt aber nicht über die erforderlichen Zugriffsrechte.'
Der Fehler tritt auf, wenn der Computer oder Benutzer keine Berechtigung für den Zugriff auf gMSA-bezogene Einstellungen hat. Führen Sie die folgenden Schritte durch:
  1. Stellen Sie sicher, dass Sie mit Administratorrechten angemeldet sind und dass der Computer der Sicherheitsgruppe angehört, die in der Eigenschaft PrincipalsAllowedToRetrieveManagedPassword des gMSA angegeben ist.
  2. Wenn der Computer der Sicherheitsgruppe nicht angehört, fügen Sie ihn hinzu und starten Sie den Computer, auf dem Sie das gMSA installieren (nicht den Domänencontroller), neu. Aktualisieren Sie die Richtlinie mit dem Befehl gpupdate.
  3. Tritt das Problem weiterhin auf, prüfen Sie die gMSA-Rechte mit dem folgenden Befehl, wobei <gMSAName> dem Namen Ihres gMSA entspricht:
    Get-ADServiceAccount -Identity "<gMSAName>" -Properties PrincipalsAllowedToRetrieveManagedPassword
  4. Wenn sich der Computer in der Sicherheitsgruppe befindet, die in der Eigenschaft PrincipalsAllowedToRetrieveManagedPassword genannt ist, versuchen Sie mit dem folgenden Befehl, alle Domänencontroller zu synchronisieren:
    Repadmin /syncall /e /d /A /P

Fehlerbehebung: Konfiguration des gMSA auf der Inventarisierungsstation/dem Beacon-Server

Die folgende Tabelle enthält die allgemeinen Fehler, die bei der Konfiguration des gMSA auf der Inventarisierungsstation/dem Beacon-Server auftreten können.

Problem Lösung
Ausnahmefehler „Nicht autorisierter Zugriff“.
System.UnauthorizedAccessException: 
Zugriff auf den Registrierungsschlüssel 'HKEY_LOCAL_MACHINE\SOFTWARE\ManageSoft Corp\ManageSoft\Beacon\CurrentVersion' wurde verweigert.
 Stellen Sie sicher, dass das gMSA über Administratorrechte auf dem Server verfügt, auf dem die Inventarisierungsstation/der Beacon-Server ausgeführt wird.
Fehler „Anmeldung fehlgeschlagen“.
Die Anmeldung stammt von einer nicht vertrauenswürdigen Domäne und kann nicht mit der integrierten Authentifizierung verwendet werden.

Verwenden Sie die Windows-Authentifizierung, da gMSAs für die integrierte Sicherheit gedacht sind.

Ein gMSA ist dafür konzipiert, vor allem mit der Windows-Authentifizierung (integrierte Sicherheit) für Dienste/Services verwendet zu werden, die Zugriff auf Ressourcen wie SQL Server oder andere Netzwerkdienste erfordern. Der Hauptzweck eines gMSA ist es, ein verwaltetes, automatisches Dienstkonto für solche Dienste bereitzustellen, wobei für den Schutz der Kommunikation die Kerberos-Authentifizierung verwendet wird. Daher verstößt die Verwendung von Ausgewählter Benutzer gegen den Sinn und Zweck eines gMSA.
Netzwerkbezogene oder instanzspezifische Fehler.
Beispiel:
Testverbindung fehlgeschlagen. Beim Testen der Inventarisierungsverbindung „Test“ ist ein Fehler aufgetreten.
Ein netzwerkbezogener oder instanzspezifischer Fehler ist beim Herstellen einer Verbindung zu SQL Server aufgetreten. 
Der Server wurde nicht gefunden oder es konnte nicht auf ihn zugegriffen werden.
 Vergewissern Sie sich, dass Ihre Firewall die erforderlichen Netzwerkverbindungen dort zulässt, wo der SCCM installiert ist.

IT Asset Management (Cloud)

Current