Bei verwalteten Dienstkonten (Managed Service Accounts) verwalten nicht Administratoren die Kennwörter dieser Konten, sondern das Active Directory übernimmt diese Tätigkeit automatisch. Administratoren können solche Änderungen manuell anstoßen, müssen das Kennwort aber weder kennen noch ändern.
Bei Systemdiensten, die diese Benutzerkonten verwenden, müssen die Kennwortänderungen nicht von Administratoren konfiguriert werden. Die Änderung der Kennwörter wird automatisch übernommen, was die Verwaltung deutlich erleichtert.
Im Fokus der neuen Funktion stehen Dienstkonten von Serveranwendungen wie Exchange, SharePoint oder SQL. Die anvisierten Dienstkonten sind zum einen wichtig für den Betrieb, zum anderen kritisch in Sachen Sicherheit - insbesondere deshalb, weil die Benutzerkonten, mit denen diese Dienste starten, oft über weitreichende Rechte verfügen.
Vor allem die Benutzerkonten Lokaler Dienst, Netzwerkdienst und Lokales System verwenden viele Administratoren oft für Serveranwendungen. Der Nachteil dieser lokalen Dienste ist die fehlende Möglichkeit, Einstellungen auf Domänenebene vorzunehmen. Verwenden Administratoren statt diesen Konten Benutzerkonten aus dem Active Directory, ergeben sich neue Bedingungen bezüglich der Verwaltung der Kennwörter. Die Verwaltung der Managed Service Accounts findet ausschließlich in der PowerShell statt.
Verwaltete Dienstkonten - technische Hintergründe
Die Konfiguration verwalteter Dienstkonten lässt sich auch an Nicht-Administratoren delegieren, zum Beispiel an interne Programmierer des Datenbanksystems oder Verwalter von SharePoint und Exchange.
Voraussetzung für die Nutzung von verwalteten Diensten sind Windows Server 2008 R2 und Windows 7; auf anderen Windows-Versionen können Sie diese Dienste nicht verwenden. Außerdem darf es auf jedem Computer immer nur ein verwaltetes Dienstkonto geben. Aus diesem Grund sind diese Dienste auch nicht clusterfähig, da hier Serveranwendungen auf mehreren Knoten verteilt sein müssen.
Die Domäne darf allerdings noch Domänencontroller mit Windows Server 2003/2008 enthalten, allerdings sind dann zusätzliche Konfigurationen erforderlich. Damit Sie verwaltete Dienstkonten in Domänen mit Windows-Server-2003/2008-Domänencontrollern nutzen können, müssen Sie das Schema des Active Directory erweitern. Führen Sie in der Domäne adprep /domainprep aus und in der Gesamtstruktur adprep /forestprep. Mindestens ein Domänencontroller muss aber mit Windows Server 2008 R2 laufen. Adprep finden Sie auf der Windows-Server-2008-R2-DVD im Verzeichnis Support\adprep. Bei den Schemaänderungen integriert Windows Server 2008 R2 ein neues Objekt: msDS-ManagedServiceAccount.
Dieses Benutzerkonto vereint die Attribute von Benutzerkonten und von Computerkonten. Das Kennwort des Computers verhält sich wie das Kennwort eines Benutzers im Active Directory, lässt sich also zentralisiert, durch das System selbst, steuern. Das bedeutet, dass das verwaltete Benutzerkonto eines Computers sich automatisch aktualisiert, wenn das Active Directory auch das Kennwort des jeweiligen Computerkontos anpasst, das dem verwalteten Dienstkonto zugewiesen ist.
Änderung des Kennworts automatisieren
Die dafür notwendigen Einstellungen lassen sich auf dem Server in Registry anpassen. Navigieren Sie dazu zum Schlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
Wichtig sind an dieser Stelle die beiden folgenden Werte:
• DisablePasswordChange Der Wert muss auf 0 oder 1 gesetzt sein. Ist der Wert nicht vorhanden, geht Windows von Word 0 aus und ändert das Kennwort des Dienstkontos automatisch.
• MaximumPasswordAge Hier legen Sie einen Wert von 1 bis1.000.000 in Tagen fest. Der Standardwert ist 30, auch wenn der Wert nicht vorhanden ist.
Das selbst gesetzte Kennwort hat eine Länge von 240 Zeichen und ist stark verschlüsselt. Außerdem besteht es aus verschiedenen Zeichen, lässt sich also nur sehr schwer erraten oder hacken. Die virtuellen Konten ermöglichen es, dass Dienste mit den Anmeldeinformationen des Computerkontos auf Netzwerkressourcen zugreifen dürfen. Virtuelle Konten liegen nicht in der Domäne, sondern auf dem lokalen Rechner. Der Account nutzt dazu das lokale Computerkonto.
Für den Zugriff auf Netzwerkressourcen verwenden Sie am besten verwaltete Dienstkonten. In der Verwaltungskonsole Active-Directory-Benutzer und -Computer finden Sie eine neue OU (Organisation Unit, Organisationseinheit) mit der Bezeichnung Managed Service Accounts.
Managed Service Accounts anlegen und verwalten
Die verwalteten Dienstkonsten legen Sie über die PowerShell an - genauer gesagt über das Active-Directory-Modul der PowerShell mit dem CMDlet new-ADServiceAccount "NameAccount". Der Ablauf bei der Verwendung von Managed Service Accounts ist wie folgt:
1. Sie legen das verwaltete Dienstkonto im Active Directory an.
2. Sie verbinden das Konto mit einem einzelnen Computerkonto. Auf dem Computer muss dazu Windows Server 2008 R2 installiert sein.
3. Sie installieren das verwaltete Benutzerkonto auf dem Computer.
4. Sie passen die Systemdienste auf dem lokalen Computer an, um das neue Konto zu nutzen.
Damit Sie CMDlets zum Anlegen von neuen verwalteten Dienstkonten nutzen können, müssen Sie entweder direkt das Active-Directory-Modul für Windows PowerShell starten, oder Sie laden in einer normalen PowerShell-Sitzung mit import-module ActiveDirectory die entsprechenden Befehle. Ein Beispiel für ein Dienstkonto wäre:
New-ADServiceAccount -Name x2k10 -Path "CN=Managed Service Accounts,DC=contoso,DC=com".
Hierbei legen Sie ein neues verwaltetes Dienstkonto mit der Bezeichnung x2k10 in der OU Managed Service Accounts in der Domäne contoso.com an. Mit dem folgenden Befehl aktivieren Sie das Dienstkonto auch gleich:
New-ADServiceAccount -Name <Beliebiger einzigartiger Name> -Enabled $true
Als Nächstes verbinden Sie das erstellte verwaltete Dienstkonto mit einem Computerkonto im Active Directory. Dazu nutzen Sie folgenden Befehl:
Add-ADComputerServiceAccount -Identity <Zielcomputer> -ServiceAccount <Erstelltes Dienstkonto>
Konto installieren und zurücksetzen
Nachdem Sie das Dienstkonto angelegt und zugewiesen haben, installieren Sie es mit dem beschriebenen CMDlet auf dem Server. Mit dem Befehl get-adsserviceaccount und dem Filter * lassen Sie sich das installierte Dienstkonto auf dem lokalen Server anzeigen.
Auf dem Anwendungsserver, auf dem Sie das verwaltete Dienstkonto verwenden, setzen Sie das CMDlet Install-ADServiceAccount "Name des Accounts" ein, um das Konto auf dem Server zu installieren.
Auf dem Server müssen dazu das Active-Directory-Modul für Windows PowerShell und das .NET-Framework 3.5 installiert sein. Das Modul für die PowerShell installieren Sie als Feature der Remote-Server-Administration-Tools (RSAT).
Mit dem Befehl Get-Help New-ADServiceAccount -detailed erhalten Sie eine ausführliche Hilfe für das Anlegen von verwalteten Dienstkonten. Das gilt auch für Get-Help Get-ADServiceAccount -detailed und für Get-Help add-ADServiceAccount - detailed sowie für Get-Help remove-ADServiceAccount - detailed und für Get-Help Set-ADServiceAccount - detailed. Im TechNet erhalten Sie ausführliche Informationen zur Syntax der genannten Befehle. Um das Kennwort eines verwalteten Dienstkontos zurückzusetzen, verwenden Sie das CMDlet
Reset-ADServiceAccountPassword <Name des Kontos>
Systemdienste für verwaltete Dienstkonten anpassen
Als Nächstes können Sie die Eigenschaften der Dienste ändern, die das neue Benutzerkonto des verwalteten Dienstkontos verwenden sollen:
1. Rufen Sie dazu über services.msc die Verwaltung der Dienste und dann die Eigenschaften des jeweiligen Dienstes auf.
2. Wechseln Sie auf die Registerkarte Anmelden.
3. Aktivieren Sie die Option Dieses Konto.
4. Wählen Sie das verwaltete Dienstkonto in der Domäne aus.
5. Löschen Sie das Kennwort. In diesem Feld dürfen sich keine Daten befinden, diese werden im Hintergrund durch das Active Directory gepflegt.
6. Bestätigen Sie die Eingabe.
7. Lassen Sie den Dienst neu starten.
In der PowerShell steuern Sie keine Gruppenmitgliedschaften des Dienstkontos. Diese Mitgliedschaften müssen Sie manuell im Snap-In Active-Directory-Benutzer und -Computer vornehmen. Achten Sie auch darauf, dass das verwaltete Dienstkonto für die Verwendung aktiviert werden muss.
Zum Löschen eines verwalteten Dienstkontos auf einem Server, verwenden Sie das CMDlet Remove-ADComputerServiceAccount -idendity <Name des Dienstes>. Neben Exchange können Sie auch SharePoint Server 2010, SharePoint Foundation 2010, SQL Server 2008 und SQL Server 2008 R2 mit verwalteten Dienstkonten betreiben. SharePoint hat auch eigene verwaltete Dienstkonten, die unabhängig von Windows Server 2008 R2 sind und auch in Windows Server 2008 x64 funktionieren
SharePoint-intern verwaltete Dienstkonten einsetzen
In SharePoint Server 2010 können Sie in der Zentralverwaltung die verwalteten Dienstkonten über Sicherheit\Verwaltete Konten konfigurieren einstellen. Die Dienste in diesem Bereich haben nichts mit den verwalteten Dienstkonten in Active Directory zu tun, da diese von den Domänencontrollern verwaltet werden, nicht von SharePoint.
Im Bereich Sicherheit der SharePoint-Zentralverwaltung finden Sie auch die anderen sicherheitsrelevanten Einstellungsthemen wie Gesperrte Dateien, Virenschutz und Administratorenbenutzer. Hier steuern Sie zudem die verwalteten Dienstkonten unabhängig von den verwalteten Dienstkonten in Windows Server 2008 R2. Die verwalteten Dienstkonten in SharePoint Server 2010 können Sie auch mit Windows Server 2008 x64 einsetzen.
Über Verwaltete Konten konfigurieren zeigt Ihnen die Oberfläche die Dienstkonten an, die SharePoint für die Synchronisierung und die Anbindung an die SQL-Datenbanken benötigt. Sie können auf dieser Seite auch weitere automatische Konten anlegen. Diese müssen Sie aber zunächst im Active Directory als Benutzerkonten anlegen, nicht als verwaltete Dienstkonten.
Anschließend hinterlegen Sie das Konto in SharePoint, und künftig ändern die Server selbstständig das entsprechende Kennwort. Im Gegensatz zu den Managed Service Accounts in Windows Server 2008 R2 verwalten dann nicht die Domänencontroller die Dienstkonten, sondern SharePoint selbst. In der Zentraladministration finden Sie über Sicherheit\Dienstkonten konfigurieren die Möglichkeit, sich alle Dienstkonten anzeigen zu lassen, die SharePoint in der Farm verwendet.
Solche verwalteten Konten können Sie nicht mehr für die Anmeldung an Computern verwenden, vielmehr stehen die Konten nur für SharePoint-Dienste zur Verfügung, da nur die SharePoint-Server die entsprechenden Kennwörter kennen. Haben Sie ein Konto, das Sie durch SharePoint verwalten wollen, in der Zentraladministration hinterlegt, können Sie die automatische Kennwortänderung aktivieren.
In den Optionen können Sie zum Beispiel festlegen, dass SharePoint automatisch das Kennwort seiner angebundenen Dienstkonten ändern muss, wenn dieses in Active Directory abläuft. Dazu liest SharePoint die Kennwortrichtlinie im Active Directory aus.
Kennwortrichtlinien und sichere Kennwörter im Active Directory
Die Kennwortrichtlinie in Active Directory steuern Sie mit der Gruppenrichtlinienverwaltung. Sie haben dazu verschiedene Möglichkeiten. Navigieren Sie in der Richtlinie zu den Einstellungen der Kennwörter unter Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien.
Geben Sie für diese Einstellungen jeweils die Option Diese Richtlinieneinstellung definieren und die empfohlenen Werte für sichere Kennwörter ein. In Windows Server 2008 R2 gibt es sechs Einstellungen, die Sie zur Konfiguration von sicheren Kennwörtern verwenden können:
• Kennwort muss Komplexitätsvoraussetzungen entsprechen. Bei dieser Option muss das Kennwort mindestens sechs Zeichen lang sein. Microsoft empfiehlt, diese Einstellung zu aktivieren. Wenn Sie die Komplexitätsvoraussetzungen für Kennwörter aktivieren, sollten Sie vorher am besten eine E-Mail an alle Mitarbeiter schicken und diese darüber informieren, wie künftig die Kennwörter aufgebaut werden sollen. Dieser Hinweis kann im Intranet hinterlegt werden. Das Kennwort darf maximal zwei Zeichen enthalten, die auch in der Zeichenfolge des Benutzernamens vorkommen Außerdem müssen drei der fünf Kriterien von komplexen Kennwörtern erfüllt sein:
Großbuchstaben (A bis Z)
Ziffern (0 bis 9)
Sonderzeichen (zum Beispiel !, &, /, %)
Unicodezeichen (€, @, ®)
• Kennwortchronik erzwingen. Hier können Sie festlegen, wie viele Kennwörter im Active Directory gespeichert werden sollen, die bisher bereits durch einen Anwender verwendet wurden. Wenn Sie diese Option wie empfohlen auf 24 setzen, darf sich ein Kennwort erst nach 24 Änderungen wiederholen.
• Kennwörter mit umkehrbarer Verschlüsselung speichern. Bei dieser Option werden die Kennwörter so gespeichert, dass die Administratoren sie auslesen können. Diese Option sollte nur verwendet werden, wenn bestimmte Applikationen für Single-Sign-On das benötigen. Ansonsten sollten Sie diese Option deaktivieren. Dazu müssen Sie die Richtlinieneinstellung definieren und auf Deaktiviert setzen.
• Maximales Kennwortalter. Hier legen Sie fest, wie lange ein Kennwort gültig bleibt, bis der Anwender es selbst ändern muss. Microsoft empfiehlt, Kennwörter für 42 Tage zu verwenden und erst danach eine Änderung durchzuführen. Diese Einstellung kann SharePoint auslesen und rechtzeitig vorher das Kennwort ändern.
• Minimale Kennwortlänge. Hier wird festgelegt, wie viele Zeichen ein Kennwort mindestens enthalten muss. Dafür wird ein Wert von acht Zeichen empfohlen.
• Minimales Kennwortalter. Hier wird festgelegt, wann ein Kennwort frühestens geändert werden darf, also wie lange es mindestens aktuell sein muss. Diese Option ist zusammen mit der Kennwortchronik sinnvoll, damit die Anwender das Kennwort nicht so oft ändern, dass sie wieder ihr altes verwenden können. Microsoft empfiehlt an dieser Stelle einen Wert von 2. (mje)