Active Directory - verwaltete Dienstkonten in der Praxis

Verwaltete Dienstkonten - technische Hintergründe

Die Konfiguration verwalteter Dienstkonten lässt sich auch an Nicht-Administratoren delegieren, zum Beispiel an interne Programmierer des Datenbanksystems oder Verwalter von SharePoint und Exchange.

Voraussetzung für die Nutzung von verwalteten Diensten sind Windows Server 2008 R2 und Windows 7; auf anderen Windows-Versionen können Sie diese Dienste nicht verwenden. Außerdem darf es auf jedem Computer immer nur ein verwaltetes Dienstkonto geben. Aus diesem Grund sind diese Dienste auch nicht clusterfähig, da hier Serveranwendungen auf mehreren Knoten verteilt sein müssen.

Die Domäne darf allerdings noch Domänencontroller mit Windows Server 2003/2008 enthalten, allerdings sind dann zusätzliche Konfigurationen erforderlich. Damit Sie verwaltete Dienstkonten in Domänen mit Windows-Server-2003/2008-Domänencontrollern nutzen können, müssen Sie das Schema des Active Directory erweitern. Führen Sie in der Domäne adprep /domainprep aus und in der Gesamtstruktur adprep /forestprep. Mindestens ein Domänencontroller muss aber mit Windows Server 2008 R2 laufen. Adprep finden Sie auf der Windows-Server-2008-R2-DVD im Verzeichnis Support\adprep. Bei den Schemaänderungen integriert Windows Server 2008 R2 ein neues Objekt: msDS-ManagedServiceAccount.

Dieses Benutzerkonto vereint die Attribute von Benutzerkonten und von Computerkonten. Das Kennwort des Computers verhält sich wie das Kennwort eines Benutzers im Active Directory, lässt sich also zentralisiert, durch das System selbst, steuern. Das bedeutet, dass das verwaltete Benutzerkonto eines Computers sich automatisch aktualisiert, wenn das Active Directory auch das Kennwort des jeweiligen Computerkontos anpasst, das dem verwalteten Dienstkonto zugewiesen ist.